HTTP-001Médiohttp
HSTS com max-age ≥ 6 meses
Verifica se o cabeçalho `Strict-Transport-Security` está presente e com validade adequada.
Por que importa
Sem HSTS, um atacante na rede consegue rebaixar a conexão para HTTP na primeira visita e interceptar tudo.
Como corrigir
Adicione `Strict-Transport-Security: max-age=15552000; includeSubDomains` na camada de borda.
Verificar a correção
HTTP-001 · verifynão-destrutivo
curl -sI https://seu-app.com | grep -i strict-transport