HSTS เป็นมาตรฐานการล็อกให้เบราว์เซอร์เข้าเว็บผ่าน HTTPS เท่านั้น โดยเปิดให้เว็บไซต์ประกาศตัวเองว่าต้องเข้าผ่าน HTTPS เท่านั้น หรือจะส่งรายชื่อให้ติดไปกับตัวติดตั้งเบราว์เซอร์ก็ได้ (เรียกว่า HSTS Preload) ตอนนี้เว็บขนาดใหญ่อย่างกูเกิลก็เริ่มเปิด HSTS บนเว็บหลัก www.google.com แล้ว
กูเกิลเป็นผู้ให้บริการแรกๆ ที่บังคับ HTTPS บนบริการที่มีความปลอดภัยสูง เช่น Gmail ที่ไม่เพียงแต่บังคับเข้าเว็บด้วย HTTPS เท่านั้นแต่ยังล็อกผู้ให้บริการรับรองตัวตน (CA) ไว้ด้วย ทำให้เมื่อ DigiNotar ถูกแฮก ผู้ใช้ก็รู้ตัวได้โดยง่ายเพราะ Chrome แจ้งเตือน แต่สำหรับเว็บหลักอย่าง www.google.com กลับยังไม่บังคับเข้าผ่าน HTTPS แต่อย่างใด
กูเกิลระบุว่าที่กระบวนการนี้ช้าเพราะมีลิงก์ภาพจำนวนมากกำหนด URL ไว้ผิด และการบังคับใช้ HTTPS ทันทีอาจจะมีปัญหากับบริการอื่นๆ หลังจากแก้ปัญหาไปเยอะแล้ว ตอนนี้กูเกิลก็เปิด HSTS โดยกำหนดอายุเพียง 1 วันเท่านั้น เพื่อลดความเสี่ยงในกรณีที่มีปัญหาขึ้นมา และระยะเวลาบังคับ HSTS จะเพิ่มขึ้นเรื่อยๆ จนเป็นหนึ่งปี ระหว่างนี้ในช่วงเดือนข้างหน้า ทีมงานจะค่อยๆ เพิ่มโดเมนที่เปิด HSTS ไปเรื่อยๆ ด้วย
บริการหลักๆ เช่น เฟซบุ๊ก และทวิตเตอร์ล้วนเปิด HSTS กันแล้ว สำหรับ Blognone เองก็เปิด HSTS และมีชื่อใน Preload List มาตั้งแต่หลายเดือนก่อน (บรรทัดที่ 3695)
ที่มา - Google Security