Säkerhetskontroll

HSTS-kontroll: stäng dörren för HTTPS-downgrade

HSTS tvingar webbläsaren att alltid använda HTTPS och stoppar downgrade-attacker. Vi kontrollerar din HSTS-header — max-age, includeSubDomains och preload.

Kör gratis domänscan Alla kontroller →
Berör: NIS2 · art. 21 — säkerhet i drift ISO 27001 · A.8.9 / A.8.24 OWASP · Secure Headers

Vad kontrolleras?

Vi kontrollerar att din Strict-Transport-Security-header finns, har ett tillräckligt långt max-age (minst ett år), täcker subdomäner med includeSubDomains och om domänen är preload-berättigad.

Varför spelar det roll?

Utan HSTS kan en angripare på nätverket tvinga en användare tillbaka till okrypterad HTTP och avlyssna eller manipulera trafiken vid första besöket. HSTS är en av de enklaste och mest effektiva säkerhetsheadrarna.

Hur Security Guru testar det

Vanliga fel

  • Kort max-age (t.ex. några timmar) — nästan ingen effekt
  • Saknar includeSubDomains → subdomäner oskyddade
  • HSTS satt men sajten svarar ändå på HTTP utan redirect
  • Preload angivet men domänen inte inskickad till preload-listan

Vad du får i rapporten

  • HSTS-status med exakt header-värde
  • Om max-age, includeSubDomains och preload är korrekta
  • Rekommenderat header-värde att sätta
  • Övriga transportsäkerhetsbrister (t.ex. saknad HTTP→HTTPS-redirect)

Vanliga frågor

Kan HSTS låsa ut mig?

Om du sätter includeSubDomains eller preload utan att ALLA subdomäner kör HTTPS kan de bli onåbara. Vi flaggar den risken innan du aktiverar.

Vad är preload?

En lista inbyggd i webbläsare där HSTS gäller redan vid första besöket. Kräver max-age ≥ 1 år, includeSubDomains och preload i headern.

Påverkar kontrollen sajten?

Nej — vi läser bara svarsheaders passivt.

Vill du veta din status?

Kör en gratis scan eller beställ en full Security Assessment — prioriterat, inte brus.

Kör gratis domänscan