O HTTP Strict Transport Security ou HSTS (RFC 6797) é um novo padrão de segurança SSL aprovado recentemente pelo IETF. Ele traz diversas melhorias para o SSL como forçar a utilização do HTTPS impedindo que sites sejam acessados usando o protocolo HTTP ou que partes do código de um site que está usando HTTPS seja executado em servidores usando o HTTP entre outras.

Este protocolo já é utilizado pelo Google,Paypal,Twitter e outros sites, porém necessita da adoção em massa para se tornar um padrão de fato. Ativá-lo é muito simples e ele substitui a utilização do redirecionamento forçado do HTTP para HTTPS.

No Apache

Habilite o módulo mod_headers

a2enmod headers

Adicione o seguinte parâmetro no VHOST do site

Header add Strict-Transport-Security “max-age=15768000″

ou

Strict-Transport-Security: max-age=15768000 ; includeSubDomains

O parâmetro max-age define para o navegador o período de validade em segundos que o HTTPS será forçado, nesse caso serão 6 meses.
O parâmetro includeSubDomains indica que esta regra valerá para os subdominios.

No Nginx

Adicione o seguinte parâmetro no arquivo de configuração do Nginx

add_header Strict-Transport-Security max-age=15768000;

Dica: Use Qualys SSL Server Test para testar se HSTS está funcionando corretamente.

Referências

Owasp HTTP Strict Transport Security

Novo padrão promete aumentar proteção de sites seguros

Firefox 4: HTTP Strict Transport Security (force HTTPS)

Protecting your users from phishing with Apache rules and HSTS