logo
GeekFormat

HSTS 분석기

Strict-Transport-Security 분석기

HSTS max-age, includeSubDomains, preload 조합이 브라우저 및 preload 목록 요구 사항을 충족하는지 분석합니다.

분석 요약

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
HSTS 구조에 명백한 오류가 없는 것 같습니다

빌더

max-age=31536000; includeSubDomains; preload

JSON 미리보기

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

HSTS를 온라인에서 확인하여 HTTPS 강제 정책이 안정적으로 설정되었는지 먼저 판단하세요.

관련 추천

사용 사례

  • 전체 사이트 HTTPS 강제를 준비할 때 HSTS 기간과 서브도메인 정책이 현재 환경에 적합한지 먼저 확인
  • 보안 개선 시 생성기로 합리적인 max-age 값을 설정하고 includeSubDomains 체크
  • HSTS preload 신청 전 설정에 preload 명령어가 포함되어 있는지 자체 검사하여 브라우저 요구 충족 확인
  • HTTPS 다운그레이드 접속 문제 해결 시 HSTS 응답 헤더가 올바르게 반환되는지 확인하고 각 명령어 파싱

주요 기능

  • 핵심 명령어 명확히 분리: 기간, 서브도메인 커버리지, preload 조건을 혼동하여 보지 않음
  • HTTPS 강제 전 자체 검사: 잘못된 설정을 전체 사이트로 확대하는 것을 방지
  • preloading 전 자체 검사: HSTS 헤더가 preload 요구에 가까운지 사전 판단 지원
  • 설정 빠르게 이해: 결과가 직관적으로 표시되어 개발, 운영 및 보안팀 협업 처리에 편리

이용 방법

  1. HSTS 응답 헤더 내용을 파싱 영역에 붙여넣거나 생성기에 max-age 초 수를 입력하고 옵션 체크
  2. 파싱 모드에서 max-age(가독 기간), includeSubDomains, preload 및 경고 정보 확인
  3. 생성 모드에서 max-age 초 수를 설정하고 includeSubDomains 및 preload 옵션 체크
  4. 생성된 HSTS 내용을 서버 설정에 복사하거나 입력 영역 내용을 덮어써 계속 디버깅

자주 묻는 질문

HSTS는 무엇을 위한 것인가요?

HSTS는 브라우저에게 이후에는 HTTPS만 사용하여 이 사이트에 접속하도록 알려주어 다운그레이드 접속 및 중간자 공격을 줄이는 데 사용됩니다. 하지만 정책을 명확히 하기 전에 무작정 최대치로 설정하는 것은 적합하지 않습니다.

max-age, includeSubDomains 및 preload는 각각 무엇을 의미하나요?

max-age는 HSTS 활성화 기간을 나타내며, includeSubDomains는 서브도메인에도 적용됨을 의미하고, preload는 브라우저 사전 로드 목록과 관련이 있습니다. 이 도구가 항목별로 분리하여 도와드립니다.

웹사이트가 HSTS preload 요구를 충족하는지 검사하는 데 적합한가요?

네. 핵심 필드가 완전한지 확인하는 데 도움이 되며, 사전 로드 목록 진입의 기본 조건을 갖췄는지 사전 평가할 수 있습니다.

배포 전에 HSTS를 검사하는 이유는 무엇인가요?

설정이 부적절하면 HTTPS 정책이 너무 느슨하거나 너무 엄격해질 수 있습니다. 배포 전에 한 번 파싱하면 필드 누락, 값이 비합리적 또는 서브도메인 커버리지 불완전 문제를 더 일찍 발견할 수 있습니다.