Компания Google сообщила о внедрении механизма HTTP Strict Transport Security (HSTS) в домене www.google.com. Механизм HSTS использует особый заголовок Strict-Transport-Security, принудительно включающий защищенное соединение по протоколу HTTPS без использования HTTP даже в случаях, когда последний явно указан в ссылке. Механизм, который определен в спецификации RFC6797, принятой в 2012 году, помогает предотвратить часть атак, направленных на перехват соединения между пользователем и сайтом.
На начальном этапе внедрения срок действия заголовка (max-age) установлен равным одному дню. По словам разработчиков, это сделано, чтобы уменьшить риск нарушения нормальной работы. Однако увеличение срока активности снижает вероятность того, что первый запрос к www.google.com будет выполнен по HTTP, поэтому ближайшая цель разработчиков — увеличить «срок годности» хотя бы до года.
Отметим, что Google уже давно шифрует данные, используя возможности HTTPS. Новый шаг помогает сделать защиту более надежной.
Источник: Google