O que é HSTS e como pode ser ativado?

HSTS (HTTP Strict Transport Security) é um mecanismo de segurança na web que ajuda a proteger sites contra ataques de "protocolo de rebaixamento" e "sequestro de cookies". Ao usar HSTS, o servidor web informa os navegadores que, em sites onde esse mecanismo está habilitado, a conexão deve ocorrer apenas através de HTTPS e nunca através de HTTP, com as solicitações feitas via HTTP sendo ignoradas.

Uma vez que, na primeira conexão de um cliente web a um site, ele ainda não sabe se a conexão será feita via HTTP ou HTTPS e aguarda instruções do servidor web, ainda existe a possibilidade de uma interceptação das comunicações. Para eliminar esse risco, após a ativação do HSTS, o domínio pode ser incluído na lista de "pré-carregamento" web. Assim, o nome do domínio será inserido no navegador web como funcionando apenas via HTTPS.

Atenção: Após ser adicionado à lista de "pré-carregamento", o site não funcionará mais em HTTP, mas apenas em HTTPS.

Mais detalhes sobre as listas de "pré-carregamento" e como adicionar ou remover um domínio dessas listas podem ser lidos visitando: https://hstspreload.org/.

Exemplo de implementação de HSTS no arquivo .htaccess do servidor web Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"