Por que usar
- HSTS: força os navegadores a usarem HTTPS, reduzindo risco de downgrade e cookie hijacking.
- HTTP/2: multiplexação, header compression, melhor latência.
- HTTP/3 (QUIC): ainda mais rápido em redes instáveis (UDP).
Apache (exemplos)
# Ativar HSTS (1 ano, inclui subdomínios) Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" # Habilitar HTTP/2 Protocols h2 h2c http/1.1
Nginx (exemplos)
# HSTS
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
# HTTP/2 na escuta 443
server { listen 443 ssl http2; ... }
HTTP/3
Depende do suporte do servidor e CDN. Em muitos ambientes, ativa-se via configuração adicional (UDP/QUIC) e cabeçalhos Alt-Svc. Consulte a documentação do seu provedor.
Cuidados
- Antes do preload HSTS, garanta HTTPS em todos os subdomínios.
- Teste em staging antes de aplicar em produção.