max-age değeriyle tarayıcıya HTTPS zorlamasının ne kadar süre saklanacağını belirtir.
HSTS Kontrol
HSTS, tarayıcıya bu alan adına yalnızca HTTPS üzerinden bağlanması gerektiğini söyleyen güvenlik başlığıdır. Doğru ayarlandığında SSL downgrade ve hatalı HTTP erişim riskini azaltır.
Alan Adı SSL Analizi YapTüm alt alan adlarını kapsar; yanlış kullanılırsa SSL olmayan subdomainlerde erişim sorunu doğurabilir.
HSTS preload için HTTPS yönlendirme, geçerli sertifika ve uzun max-age gereklidir.
HSTS güvenli şekilde nasıl etkinleştirilir
- Önce tüm subdomainleri denetleyinSSL olmayan veya yanlış sertifikalı alt alan adlarını düzeltmeden includeSubDomains açmayın.
- Kademeli max-age kullanınKısa süreyle başlayıp yapılandırmanın doğru çalıştığını izleyin.
- Preload öncesi doğrulayınTüm yönlendirme, sertifika ve başlık koşulları tamamlandıktan sonra preload değerlendirin.
HSTS, güvenli kullanıcı deneyimini destekler ve HTTP/HTTPS karmaşasını azaltır.
Yanlış HSTS ayarı kullanıcıların siteye erişimini uzun süre engelleyebilir.
HPKP modern webde önerilmez; HSTS güvenli HTTPS zorlaması için doğru yaklaşımdır.
HSTS Kontrol hakkında sık sorulan sorular
HSTS yoksa SSL çalışmaz mı
SSL çalışabilir, ancak tarayıcı HTTPS zorlamasını kalıcı güvenlik kuralı olarak saklamaz.
HSTS preload herkes için gerekli mi
Her site için şart değildir. Alt alan adı yapısı tam kontrol altında olan siteler için dikkatle uygulanmalıdır.
includeSubDomains riskli mi
Evet, SSL olmayan alt alan adları varsa erişim sorununa yol açabilir.