HTTP Strict Transport Security (abreviado HSTS) é uma funcionalidade de de segurança que permite a um website informar o browser que deve comunicar utilizando apenas HTTPS, em vez de utilizar HTTP
Configuração para Apache
Deve adicionar-se ao virtualhost configurado para responder por HTTPS o seguinte:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
O Apache deve ser reiniciado depois de ser efetuada a alteração à configuração
Configuração para Lighttpd
Para configuração no Lighttpd deve adicionar-se ao ficheiro /etc/lighttpd/lighttpd.conf a seguinte configuração:
server.modules += ( "mod_setenv" )
$HTTP["scheme"] == "https" {
setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
}
Deve reiniciar-se o Lighttpd para que as alterações sejam aplicadas.
Configuração para NGINX
A configuração para NGINX é ainda mais sucinta, deve ser adicionado ao bloco SERVER da configuração HTTPS a seguinte linha:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";