Cómo utilizar HSTS para forzar el acceso cifrado HTTPS al sitio web

Al acceder a su sitio a través del protocolo HTTPS, agregue esta información en el encabezado de respuesta: Strict-Transport-Security "max-age=63072000; includeSubdomains;"

Strict- Transport-Security es el nombre del campo del encabezado, la siguiente edad máxima representa el tiempo efectivo de HSTS en el cliente e includeSubdomains significa que es efectivo para todos los subdominios.

Por ejemplo, cuando visitamos la página de inicio de Facebook en el navegador Chrome y luego abrimos las herramientas de desarrollador, podemos ver que el servidor envía esta respuesta:

The Strict- The El encabezado Transport-Security es la información HSTS. De hecho, en el lado del servidor, solo necesita enviar este encabezado. La implementación específica está en el cliente, que es su navegador. Cuando el navegador detecta dicha información del encabezado, realizará un registro de acuerdo con el mensaje de edad máxima, cuando el usuario vuelva a visitar el sitio dentro de un cierto período de tiempo, utilizará directamente la solicitud del protocolo HTTPS si la solicitud HTTPS falla. , no lo hará. La degradación a HTTP fallará directamente.