HTTP Strict Transport Security (HSTS) adalah salah informasi header untuk memerintahkan browser hanya menggunakan HTTPS atau web yg sudah terinstall SSL.
HSTS Preload
Adalah list web2 yg sudah mengimplementasikan HSTS sesuai dengan ketentuan. List ini yg dipakai oleh browser2 seperti chrome, firefox untuk mengload website dengan https.
Perhatian : Hati-hati menggunakan HSTS Preload
Jika serifikat SSL epxired dan lupa perpanjang, selama nama domain masih termasuk dalam list preload, browser akan tetap mengload website ke https, yg pastinya mengakibatkan muncul error pada web Anda.
Apa gunanya ?
Membuat koneksi lebih secure walaupun sudah menggunakan SSL. Karena pada saat awal koneksi browser ke server ada 1 koneksi 301 dari non SSL ke SSL. Celah ini akan ditutup jika web Anda sudah termasuk dalam list preload. Plus waktu koneksi untuk SSL akan lebih cepat, karena dari awal koneksi browser sudah akan memulai dengan HTTPS.
Syarat daftar HSTS Preload
- Wajib mempunyai setifikat SSL (pastikan jangan sampai expired)
- Mengalihkan semua koneksi termasuk subdomain ke HTTPS. Jika menggunakan subodmain contoh: member.domain.com , wajib menggunakan wildcard ssl
- Mengalihkan domain tanpa subdomain / www pada koneksi pertama ke https, jika menggunakan www bisa dialihkan setelah itu
- HSTS Header dengan max-age min 1 tahun
Contoh HSTS Header
#apache Header always set Strict-Transport-Security "max-age=31536000; preload; includeSubDomains" env=HTTPS #NGINX add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Contoh HSTS Preload pada Apache bisa ditambahkan pada file .htaccess di root domain.
#HSTS Header Preload Header always set Strict-Transport-Security "max-age=31536000; preload; includeSubDomains" env=HTTPS #redirect ke https RewriteCond %{HTTPS} !on RewriteRule (.*) https://namadomain.com/$1 [R=301,L] #Jika menggunakan www, redirect non-www ke wwww RewriteCond %{HTTP_HOST} ^namadomain\.com [NC] RewriteRule (.*) https://www.namadomain.com/$1 [R=301,L]
Jika sudah disetting semua secara benar, lalu submit domain Anda ke https://hstspreload.org
Setelah submit cek status domain Anda beberapa hari kemudian, jika sudah berhasil akan muncul status seperti gambar di atas.
Orang IT yang suka masak & baking, photo editing, kadang coding, jagain server sama jalanin toko online plus suka dengan hal2 baru tentang IT