HSTS и preload: принудительный HTTPS и попадание в списки браузеров
Заголовок `Strict-Transport-Security`, срок `max-age` и риски preload до готовности всего домена.
HSTS сообщает браузеру всегда использовать HTTPS для домена — защита от downgrade и перехвата cookie при первом визите (до preload).
Preload в hstspreload.org распространяет политику на все установки Chrome — откат занимает месяцы, подавайте только стабильные зоны.
- Strict-Transport-Security — MDN — Директивы max-age и includeSubDomains.
- hstspreload.org — Требования к preload.
Чеклист
Сначала HTTPS на всех поддоменах и редиректы с HTTP, затем длинный max-age, потом preload.
Тестовые staging-домены не включайте в includeSubDomains без отдельного сертификата.