HSTS (HTTP Strict Transport Security)

TL;DR: HSTS (HTTP Strict Transport Security) adalah header HTTP respons yang memerintahkan browser untuk hanya mengakses domain melalui HTTPS selama durasi tertentu. Tujuannya menutup celah serangan downgrade dan SSL stripping yang masih bisa terjadi pada redirect HTTP ke HTTPS biasa.

Apa itu HSTS?

HSTS adalah mekanisme keamanan web yang dideklarasikan lewat header Strict-Transport-Security di respons server. Saat browser pertama kali menerima header ini di koneksi HTTPS yang valid, browser menyimpan instruksi tersebut dan memaksa seluruh request berikutnya ke domain yang sama berjalan via HTTPS, bahkan jika pengguna mengetik http:// di address bar. Mekanisme ini melengkapi SSL/HTTPS dengan kunci waktu yang lebih tegas.

Analoginya seperti memasang peraturan permanen di kantor: setelah satu kali ditempel, seluruh tamu masuk lewat pintu utama saja, bukan pintu samping.

Format Header dan Direktif Utama

Contoh header lengkap:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Kenapa Penting?

Tanpa HSTS, redirect HTTP ke HTTPS biasa masih membuka jendela kecil bagi serangan man-in-the-middle, terutama di jaringan publik seperti kafe atau bandara. Untuk website bisnis Indonesia yang menerima form pembelian, login member, atau data klien sensitif, kebocoran satu request saja bisa berdampak ke kepercayaan brand. HSTS menutup celah ini dengan cara yang ringan, tanpa biaya tambahan, dan tidak merusak performa Core Web Vitals.

Pertanyaan Umum

Apakah HSTS sama dengan HTTPS biasa?

Tidak. HTTPS hanya menyediakan koneksi terenkripsi jika diakses lewat protokol HTTPS. HSTS memaksa browser tidak pernah membuka domain via HTTP, sehingga celah downgrade hilang.

Kapan saya perlu mengaktifkan preload?

Aktifkan preload setelah yakin seluruh domain dan subdomain konsisten HTTPS, biasanya 2-3 bulan setelah deploy HSTS reguler. Daftar preload sulit dicabut, jadi pastikan tidak ada layanan internal yang masih HTTP.