Google: наличие HSTS не отменяет необходимости в переадресации HTTP-страниц
Наличие HSTS (HTTP Strict Transport Security) на сайте не отменяет необходимости в настройке переадресации с HTTP-страниц на HTTPS – несмотря на то, что этот механизм принудительно активирует защищённое соединение через HTTPS. Об этом заявил сотрудник Google Джон Мюллер, отвечая на вопрос одного из пользователей в Reddit.
Вопрос звучал так:
«Нужно ли перенаправлять HTTP-страницы при настроенном HSTS?»
Мюллер ответил следующее:
«Да, нужно. HSTS отлично подходит для добавления поверх переадресации и HTTPS, но не наоборот, поскольку это изменение сложно откатить и трудно устранить ошибки, а вам нужно время, чтобы понять, что всё правильно реализовано. Настройте сначала HTTPS, а затем подумайте о применении HSTS».
Таким образом, при переходе на HTTPS нужно сначала настроить переадресацию, а спустя несколько месяцев, когда всё уже будет сделано, можно будет подумать и о реализации HSTS. При этом удалять созданные ранее редиректы не потребуется.
Напомним, что в 2016 году Google внедрил механизм HSTS в домене Google.com.
А ранее, в 2015 году, инженер отдела качества поиска Гэри Илш предупредил вебмастеров, что реализация HSTS без поддержки HTTPS может приводить к проблемам с индексацией.