HSTS (HTTP Strict Transport Security)

TL;DR: HSTS (HTTP Strict Transport Security) adalah header HTTP yang memberi tahu browser untuk hanya berkomunikasi dengan website lewat HTTPS untuk durasi tertentu. Tujuannya mencegah serangan downgrade dan mixed content. Cara pasang cukup tambah satu baris header di server atau Next.js config.

Apa itu HSTS?

HSTS adalah mekanisme keamanan web yang dispesifikasi di RFC 6797. Saat browser pertama kali menerima header Strict-Transport-Security dari sebuah domain, browser akan menyimpan instruksi tersebut dan menolak permintaan HTTP polos ke domain itu untuk durasi yang ditentukan (max-age). Bahkan jika pengguna mengetik http://, browser otomatis konversi ke https://.

Tanpa HSTS, pengguna yang mengetik vitoatmo.com di address bar akan dikirim sebagai HTTP polos dulu sebelum di-redirect ke HTTPS. Celah satu detik itu cukup untuk serangan man-in-the-middle pada DNS atau WiFi publik.

Komponen Header HSTS

Contoh header lengkap: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Kenapa Penting?

Mozilla Observatory dan audit keamanan client umumnya menjadikan HSTS sebagai checklist wajib. Dalam audit Atmo LMS, saya menemukan domain belum pasang HSTS sehingga skor keamanan turun. Setelah pasang max-age=63072000; includeSubDomains; preload di middleware Next.js, skor naik dari B ke A+ dalam satu deploy. Untuk pemilik website bisnis di Indonesia, ini langkah satu kali yang melindungi pelanggan dari serangan downgrade tanpa biaya tambahan.

Pertanyaan Umum

Apa risiko pasang HSTS tanpa rencana?

Jika website pernah pakai HTTPS lalu balik ke HTTP, pengguna yang sudah simpan instruksi HSTS tidak bisa akses sama sekali. Mulai dari max-age kecil (300 detik) lalu naikkan setelah yakin HTTPS stabil.

Bedanya HSTS dan redirect HTTP-ke-HTTPS apa?

Redirect tetap melewati request HTTP pertama yang bisa di-intercept. HSTS instruksinya disimpan browser, jadi setelah kunjungan pertama, request HTTP tidak pernah dikirim lagi.