Digital Transformation

HSTS (Strict-Transport-Security)

Vito Atmo
Vito Atmo·27 Mei 2026·0 kali dibaca·2 min baca

TL;DR: HSTS (HTTP Strict-Transport-Security) adalah header HTTP yang memerintahkan browser untuk selalu mengakses domain via HTTPS untuk durasi tertentu. Begitu browser melihat header ini, semua request ke domain itu akan otomatis diupgrade ke HTTPS, bahkan kalau user mengetik "http://". Praktik standar untuk website bisnis modern dan diwajibkan banyak audit keamanan.

Apa itu HSTS?

HSTS adalah mekanisme keamanan web yang didefinisikan di RFC 6797. Server mengirim header berisi instruksi: "selama X detik, akses saya hanya via HTTPS". Browser menyimpan instruksi ini dan menerapkannya ke semua request berikutnya, termasuk subdomain kalau ditandai includeSubDomains.

Tanpa HSTS, user yang mengetik domain tanpa "https://" akan terhubung dulu via HTTP, lalu di-redirect. Celah singkat itu cukup untuk serangan man-in-the-middle yang disebut SSL stripping. HSTS menutup celah tersebut.

Format Header

DirektifFungsi
max-age=31536000Durasi (detik) browser harus enforce HTTPS, biasanya 1 tahun
includeSubDomainsBerlaku juga ke semua subdomain
preloadBoleh masuk daftar preload Chrome/Firefox/Safari

Contoh header lengkap:

ini
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Kenapa Penting?

Per April 2026, semua browser modern menampilkan peringatan "Not Secure" untuk website tanpa HTTPS. Tapi HTTPS saja belum cukup, HSTS memastikan browser tidak pernah jatuh ke HTTP, bahkan saat user mengetik manual. Untuk website bisnis yang menerima form atau pembayaran, HSTS adalah baseline. Cek HSTS Preload List Chrome untuk daftarkan domain.

Risiko pasang HSTS terlalu agresif: kalau sertifikat SSL expired, user akan terkunci tidak bisa akses sama sekali karena browser menolak fallback ke HTTP. Tes dulu dengan max-age kecil sebelum naik ke 1 tahun.

Pertanyaan Umum

Apakah HSTS bisa dimatikan setelah dipasang?

Bisa, dengan mengirim header max-age=0. Tapi browser yang sudah men-cache instruksi lama akan tetap enforce sampai max-age habis. Itu sebabnya direkomendasikan mulai dengan nilai kecil.

Apa beda HSTS dengan redirect HTTPS biasa?

Redirect 301 dari HTTP ke HTTPS tetap meninggalkan satu request HTTP yang rentan. HSTS membuat browser sendiri yang menolak HTTP, jadi tidak ada request HTTP sama sekali.

Bagikan

Istilah Terkait

Content Security Policy (CSP)Referrer-Policy (Header HTTP)SSL / HTTPSX-Robots-Tag (HTTP Header)
Semua IstilahAda pertanyaan? →