HTTP Strict Transport Security (HSTS) är en säkerhetsmekanism som har blivit allt vanligare på webbplatser. HSTS fungerar genom att tvinga webbläsare att alltid använda en säker HTTPS-anslutning när de kommunicerar med en webbplats. Detta ökar säkerheten för webbplatsens besökare genom att skydda dem mot olika typer av attacker.

HSTS fungerar genom att webbservern skickar en speciell HTTP-header till webbläsaren. Denna header talar om för webbläsaren att alltid använda en säker HTTPS-anslutning när den besöker webbplatsen, även om användaren skriver in en osäker HTTP-adress. HSTS-huvudet innehåller också information om hur länge webbläsaren ska lagra denna inställning, vanligtvis några månader.

Vad är HSTS-preloading?

HSTS-preloading är en process där domännamnsinnehavare och toppdomänensoperatörer kan lägga till sina domännamn/toppdomäner i en lista över domäner som inkluderas av alla webbläsare och därmed tvinga HTTPS-anslutningar för alla besökare av webbplatsen.

Genom att inkludera sina toppdomäner i HSTS-preloading-listan garanterar toppdomänsoperatören att alla webbläsare som stöder HSTS automatiskt använder en säker HTTPS-anslutning när de besöker en webbplats inom en av deras toppdomäner. HSTS-preloading skyddar alla webbplatser inom en toppdomän mot man-in-the-middle-attacker redan vid det första besöket på webbplatsen, vilket ger användarna en extra nivå av säkerhet och förbättrar den övergripande användarupplevelsen på webbplatserna.