Mengaktifkan HSTS

HSTS (HTTP Strict Transport Security) adalah kebijakan keamanan komunikasi web untuk mencegah degradasi protokol (misal HTTPS ke HTTP) dan bisa sedikit mempercepat koneksi apabila situs tersebut pernah diakses sebelumnya.

Ini disebabkan koneksi selanjutnya browser akan langsung menggunakan HTTP tanpa perlu mengecek apakah HTTP tersedia seperti biasanya. Jadi tidak perlu melewati proses redirect dari HTTP ke HTTPS juga.

Tapi mengaktifkan HSTS ini bagai pedang bermata dua, anda wajib memahami efeknya dulu. Yang pasti kalau sudah terlanjur menggunakannya hampir pasti anda akan kesulitan kembali ke HTTP karena dalam browser akan muncul error.

Bagaimana cara mengaktifkan HSTS? Aslinya cukup mudah karena ini cuma header tambahan dalam HTTP(S) saja.

• Apache
  Pada konfigurasi virtual host HTTPS tambahkan kode ini didalamnya:

  Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"

• Nginx
  Sama, sisipkan kode berikut dalam konfigurasi virtual host yang HTTPS:

  add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; ";

Maksud dari seluruh kode diatas adalah aktifkan HSTS untuk domain dan seluruh subdomainnya selama satu tahun.