30 июля 2016
Механизм HSTS внедрен в основном домене Google
Компания Google сообщила о внедрении механизма HTTP Strict Transport Security (HSTS) в домене www.google.com. Механизм HSTS использует особый заголовок Strict-Transport-Security, принудительно включающий защищенное соединение по протоколу HTTPS без использования HTTP даже в случаях, когда последний явно указан в ссылке. Механизм, который определен в спецификации RFC6797, принятой в 2012 году, помогает предотвратить часть атак, направленных на перехват соединения между пользователем и сайтом.
На начальном этапе внедрения срок действия заголовка (max-age) установлен равным одному дню. По словам разработчиков, это сделано, чтобы уменьшить риск нарушения нормальной работы. Однако увеличение срока активности снижает вероятность того, что первый запрос к www.google.com будет выполнен по HTTP, поэтому ближайшая цель разработчиков — увеличить «срок годности» хотя бы до года.
Отметим, что Google уже давно шифрует данные, используя возможности HTTPS. Новый шаг помогает сделать защиту более надежной.
Источник: Google http://www.ixbt.com/news/2016/07/30/mehanizm-hsts-vnedren-v-osnovnom-domene-google.html
http://creativecommons.org/licenses/by/3.0/legalcode
