Header HSTS rilevato

Requisiti per il preloading

Tutti i seguenti requisiti devono essere soddisfatti per richiedere l'inserimento nella lista.

Come richiedere il preloading

Visita hstspreload.org per verificare l'idoneità del dominio e inviare la richiesta di inserimento nella preload list. Una volta soddisfatti tutti i requisiti, la revisione richiede tipicamente da qualche settimana a qualche mese.

FAQ

Domande frequenti

Cos'è la HSTS Preload List?

La HSTS Preload List è un database integrato direttamente nel codice sorgente dei principali browser (Chrome, Firefox, Safari, Edge) che elenca tutti i domini che devono essere visitati ESCLUSIVAMENTE tramite HTTPS. A differenza del normale header HSTS che viene memorizzato solo dopo la prima visita, il preload protegge anche la primissima connessione, eliminando la finestra di vulnerabilità iniziale (TOFU - Trust On First Use) durante la quale un attaccante potrebbe intercettare la richiesta HTTP.

Quali sono i requisiti per essere inseriti?

Per richiedere l'inserimento nella preload list, un dominio deve soddisfare tutti questi requisiti: servire una pagina HTTPS valida al root domain, redirigere tutto il traffico HTTP verso HTTPS, avere un certificato valido senza warning, e inviare l'header HSTS con: max-age di almeno 31.536.000 secondi (1 anno), la direttiva includeSubDomains (tutti i sottodomini devono supportare HTTPS), e la direttiva preload. Attenzione: l'inserimento è praticamente irreversibile nel breve periodo.

Quanto tempo richiede l'inserimento?

Dopo aver soddisfatto i requisiti e aver inviato la richiesta su hstspreload.org, la revisione richiede tipicamente da alcune settimane a qualche mese. La lista viene inclusa nei rilasci dei browser, quindi anche dopo l'approvazione i vecchi browser potrebbero non avere ancora il dominio. La rimozione dalla lista è possibile ma richiede lo stesso processo e può impiegare mesi prima che tutti i browser aggiornino la lista, durante i quali il sito potrebbe diventare inaccessibile se HTTPS non funziona correttamente.

I miei dati vengono inviati a server esterni?

No. Tutti gli strumenti LYNK TOOLS funzionano interamente nel browser, senza inviare file o dati a server esterni. L'elaborazione avviene localmente sul tuo dispositivo: i tuoi file restano privati e non vengono mai caricati online.