ZenovayTools

Verificador de Pré-carregamento HSTS

Verifique se seu domínio está na lista de pré-carregamento HSTS e valide seu cabeçalho Strict-Transport-Security. Verifica os sinalizadores max-age, includeSubDomains e preload necessários para o pré-carregamento do Chrome/Firefox. Obtenha status de elegibilidade e pontuação de configuração.

Como Usar Verificador de Pré-carregamento HSTS

  1. 1Digite o nome do seu domínio para verificar a configuração HSTS.
  2. 2A ferramenta busca o cabeçalho Strict-Transport-Security do seu site e o analisa.
  3. 3A associação à lista de pré-carregamento é verificada em relação ao banco de dados de pré-carregamento HSTS do Chrome/Firefox.
  4. 4Os requisitos de elegibilidade e qualquer problema de configuração são exibidos.
ZenovayAnalytics

Analytics sem nenhum banner de cookies.

  • Acompanhamento de visitantes em tempo real
  • Privacidade em primeiro lugar, sem banner de cookies
  • Configurado em dois minutos
Conheça o Zenovay

Ferramentas Relacionadas

Gerador de Senha
Gere senhas fortes e aleatórias com comprimento, caracteres e complexidade personalizáveis.
Verificador de Força da Senha
Verifique o quão forte é sua senha. Obtenha um tempo estimado de quebra e sugestões de melhoria.
Gerador HMAC
Gere assinaturas HMAC usando SHA-256, SHA-384 ou SHA-512 com a Web Crypto API.
Criptografia/Descriptografia AES
Criptografe e descriptografe texto usando AES-GCM com derivação de chave PBKDF2. Executa totalmente no seu navegador.

Perguntas Frequentes

O que é HSTS e por que é importante?
HTTP Strict Transport Security (HSTS) informa aos navegadores que seu site deve ser acessado apenas por HTTPS, nunca HTTP. Assim que um navegador vê o cabeçalho Strict-Transport-Security, ele converte automaticamente todas as requisições HTTP para HTTPS durante a duração do max-age. Isso evita ataques de SSL stripping e MITM (Man-In-The-Middle).
O que é a lista de preload HSTS?
A lista de preload HSTS é uma lista codificada de domínios incorporada nos navegadores (Chrome, Firefox, Safari, Edge) que são sempre carregados por HTTPS — mesmo na primeira visita, antes de qualquer cabeçalho HSTS ser visto. Isso fecha a janela de vulnerabilidade que existe quando um usuário visita um site pela primeira vez.
Quais são os requisitos para elegibilidade ao preload HSTS?
Seu domínio deve: (1) Servir um certificado HTTPS válido, (2) Redirecionar todo o tráfego HTTP para HTTPS, (3) Ter o cabeçalho Strict-Transport-Security em respostas HTTPS com max-age de pelo menos 31536000 (1 ano), (4) Incluir a diretiva includeSubDomains e (5) Incluir a diretiva preload.
Qual valor de max-age devo usar?
Para implantação inicial, comece com um max-age curto (por exemplo, 300 segundos) para testar sem prender visitantes. Aumente gradualmente para 1 mês, depois 6 meses, depois 1 ano (31536000 segundos). O valor de 1 ano é necessário para elegibilidade à lista de preload. AVISO: Uma vez que o HSTS esteja ativo com um max-age longo, todos os usuários que visitaram seu site só conseguirão acessá-lo por HTTPS pelo período definido.
O HSTS protege contra todos os ataques MITM?
O HSTS protege contra SSL stripping e ataques de downgrade de protocolo após a primeira visita. No entanto, a primeira visita ainda é vulnerável se o usuário se conectar via HTTP (o problema TOFU — Trust On First Use). A lista de preload resolve isso garantindo que os navegadores apliquem HTTPS desde a primeira requisição.