HTTP Strict Transport Security para o Apache, NGINX e Lighttpd

HTTP Strict Transport Security (abreviado HSTS) é uma funcionalidade de de segurança que permite a um website informar o browser que deve comunicar utilizando apenas HTTPS, em vez de utilizar HTTP

Configuração para Apache

Deve adicionar-se ao virtualhost configurado para responder por HTTPS o seguinte:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

O Apache deve ser reiniciado depois de ser efetuada a alteração à configuração

Configuração para Lighttpd

Para configuração no Lighttpd deve adicionar-se ao ficheiro /etc/lighttpd/lighttpd.conf a seguinte configuração:

server.modules += ( "mod_setenv" )
$HTTP["scheme"] == "https" {
setenv.add-response-header = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")
}

Deve reiniciar-se o Lighttpd para que as alterações sejam aplicadas.

Configuração para NGINX

A configuração para NGINX é ainda mais sucinta, deve ser adicionado ao bloco SERVER da configuração HTTPS a seguinte linha:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *