O HTTP Strict Transport Security (HSTS) é um mecanismo de segurança no qual um site informa ao navegador que todas as solicitações futuras devem ser feitas por HTTPS. O uso do HSTS forçará todas as solicitações futuras ao nome de domínio atual a usar URLs https: //, mesmo se o usuário tentar acessar links usando URLs http: // .
Você pode ativar os cabeçalhos HSTS adicionando o seguinte em um arquivo .htaccess no diretório raiz da web do seu aplicativo ( public_html ):
# Usando esse cabeçalho, qualquer navegador que acesse o site por HTTPS não
# conseguir acessar o site HTTP comum por um ano (31536000 segundos).
# Quando você começa a usar isso, não deve parar de usar SSL no seu site ou
# seus visitantes que retornam não poderão acessar seu site.
Header always set Strict-Transport-Security "max-age=31536000" env=HTTPS
Depois de habilitar o HSTS, você estará comprometido com o SSL. Você não poderá voltar ao HTTP simples para seu aplicativo.