Tutorial: Configurando HSTS de Forma Segura no .htaccess de um Site

O HTTP Strict Transport Security (HSTS) é uma medida de segurança essencial para websites, assegurando que os navegadores dos usuários se conectem ao servidor via HTTPS, protegendo contra ataques como o “man-in-the-middle“. Este tutorial aborda como adicionar uma configuração segura de HSTS no arquivo .htaccess de um site.

O Que é HSTS?

O HSTS é um cabeçalho de resposta HTTP que instrui os navegadores a se conectarem ao servidor apenas através de conexões HTTPS seguras. Isso impede que os usuários acessem uma versão não segura do site, mesmo se digitarem “http://” ou clicarem em um link não seguro.

Pré-Requisitos

• Certifique-se de que seu site já esteja configurado e acessível via HTTPS.
• Tenha acesso ao arquivo .htaccess no diretório raiz do seu site.

Passo a Passo para Configurar HSTS no .htaccess

1. Acesse o Arquivo .htaccess: Use um cliente FTP ou o gerenciador de arquivos do seu serviço de hospedagem para acessar o arquivo .htaccess localizado no diretório raiz do seu site.
2. Edite o Arquivo .htaccess: Abra o arquivo .htaccess para edição. É recomendável fazer um backup deste arquivo antes de fazer alterações.
3. Adicione a Configuração de HSTS: Insira o seguinte código no arquivo:

    <IfModule mod_headers.c>
        Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
    </IfModule>
    

1. Explicação das Diretivas:
   • max-age=31536000: Define o tempo em que o navegador deve lembrar de acessar o site apenas via HTTPS (31536000 segundos = 1 ano).
   • includeSubDomains: Aplica a política a todos os subdomínios.
   • preload: Opcional, mas recomendado se você planeja adicionar seu site à lista de preloads do HSTS.
2. Salve as Alterações: Após adicionar o código, salve o arquivo .htaccess e faça o upload novamente para o servidor, se necessário.
3. Teste a Configuração: Acesse seu site e verifique se não há problemas de acesso. Use ferramentas como o Qualys SSL Labs para testar a segurança do seu site, incluindo a configuração de HSTS.

Considerações Adicionais

• Período de Max-Age: O valor de max-age pode ser ajustado conforme necessário, mas um ano é um bom ponto de partida.
• Preload List: Se optar por usar preload, você deve enviar seu site para a lista de preloads do HSTS, que é utilizada por navegadores para forçar HTTPS antes mesmo do primeiro acesso.
• Atenção com Subdomínios: Certifique-se de que todos os subdomínios suportem HTTPS antes de incluir a diretiva includeSubDomains.

Conclusão

Adicionar HSTS ao seu arquivo .htaccess é uma maneira eficaz de melhorar a segurança do seu site, garantindo que os usuários sempre se conectem através de HTTPS. Lembre-se de testar sua configuração após a implementação e considerar todos os aspectos de segurança relacionados ao seu site.

Lucas Catão de Moraes

Amante por tecnologia Especialista em Cibersegurança e Big Data, Formado em Administração de Infraestrutura de Redes, Pós-Graduado em Ciências de Dados e Big Data Analytics e Machine Learning, Com MBA em Segurança da Informação, Escritor do livro ” Cibersegurança: Protegendo a sua Reputação Digital”.