Tengo un servidor LAMP y mi proveedor de certificados SSL me recomendó configurar el encabezado HSTS de la siguiente manera en Apache2:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS
Preguntas:
¿Qué hace preload ?
¿Qué hace env=HTTPS ?
preload ? El indicador de precarga indica el consentimiento para que se permita el dominio en HSTS preload lista (utilizada por Chrome, Firefox, IE 11, Edge y otros navegadores).
El equipo de seguridad de Chrome permite que cualquier dominio envíe su dominio a la lista, siempre que cumpla con los siguientes requisitos:
- HTTPS está habilitado en el dominio raíz (por ejemplo,
https://donotcall.gov), y todos los subdominios (por ejemplo,https://www.donotcall.gov), especialmente el subdominiowww, si existe un registro de DNS.- La política de HSTS incluye todos los subdominios, con un largo
max-agey un indicadorpreloadpara indicar que el propietario del dominio acepta la precarga.- El sitio web redirige de HTTP a HTTPS, al menos en el dominio raíz.
Fuente: enlace
Puede ver más información en la página Envío de precarga HSTS .
env=HTTPS ? Este es un argumento de la directiva Apache Header (parte de mod_headers module ):
env=[!]varnameLa directiva se aplica solo si existe la variable de entorno
varname. Un!frente avarnamerevierte la prueba, por lo que la directiva solo se aplica sivarnameno está establecido.
En este caso, el encabezado HTTP solo se envía cuando se establece la variable de entorno HTTPS . Esta variable de entorno solo se establece cuando se accede a las páginas / recursos a través de HTTPS. El razonamiento detrás de esto está en sección 7.2 de la especificación HSTS :
Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP transmitidas a través de un transporte no seguro.
En cuanto a por qué , consulte esta pregunta .