HSTS le indica al navegador que solo se conecte al sitio mediante HTTPS, incluso si el usuario escribe http:// o hace clic en un enlace HTTP.
Cabecera HSTS
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
max-age en segundos (1 año recomendado). includeSubDomains aplica a todos los subdominios.
HSTS Preload
Lista mantenida por Chrome (cargada en todos los navegadores). Los dominios en la lista tienen HSTS activo desde la primera visita, sin necesidad de cabecera.
Registro en Preload
- Configura HSTS con
preload. 2. Espera quemax-ageesté activo. 3. Registra enhstspreload.org. 4. Difícil de eliminar una vez aceptado.
Riesgos
Una vez activado, no puedes desactivar HTTPS. Si pierdes el certificado SSL, tu sitio será inaccesible. Prueba con max-age pequeño primero.

