Как правильно настроить https редирект

HSTS (HTTP Strict Transport Security) — механизм, принудительно активирующий защищённое соединение через протокол HTTPS. Для того чтобы включить этот механизм на сайте нужно добавить http-заголовок в настройках веб-сервера.

В Apache https редирект можно включить добавив в файл .htaccess следующую строку:

Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Для того чтобы включить редирект https в nginx нужно добавить заголовок в дериктиву server:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

С таким заголовком браузер сделает «внутренний редирект» с кодом 307, что должно произойти быстрее чем в случае с 301ым редиректом, и избавит пользователя от задержки перед загрузкой сайта. Механизм HSTS поддерживается всеми современными браузерами включая Internet Explorer 11, Microsoft Edge, Firefox, Chrome, Safari и Opera, однако многие сайты (95% на 2016 год) все еще используют 301 код ответа для перенаправления браузера с http на https. Поиск в гугл на тему редиректа с http на https в топе выдает старые статьи, в которых описывается способ с 301 кодом, но ни слова про HSTS и скорее всего так еще будет долго.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.