¿Es más seguro utilizar la función de precarga de HTTP Strict Transport Security ( HSTS ) y, de ser así, por qué ?
Con precarga:
Strict-Transport-Security: max-age=10886400; includeSubDomains; preload
Sin precarga
Strict-Transport-Security: max-age=10886400; includeSubDomains
En realidad es incluso más seguro.
Los HSTS convencionales solo surten efecto después de la primera solicitud al sitio, y hasta que el usuario borre la memoria caché de su navegador (cada navegador puede manejar esto de manera diferente, pero supongo que borrar todos los datos de navegación también debería eliminar la lista de HSTS), y creo que los HSTS no persiste entre la navegación privada y no privada debido a problemas de privacidad.
HSTS "precargado" funciona al decirle a todos que desea que su encabezado HSTS se envíe con actualizaciones del navegador, para que los navegadores sepan que su sitio solo debe tener acceso mediante HTTPS incluso si su usuario nunca visitó su sitio antes. Por supuesto, tiene algunas implicaciones, principalmente no poder cancelar la suscripción (digamos que vuelve a HTTP, no solo sus usuarios existentes no podrán conectarse porque vieron su encabezado HSTS, sino que los nuevos usuarios tampoco lo harán porque el encabezado HSTS se incluye con su navegador).
Creo que también debe enviar el sitio manualmente utilizando formulario de Google , ya que no creo que rastreen Internet buscando la precarga. encabezados, al menos no todavía.