Was ist HTTP Strict Transport Security (HSTS)?
HTTP Strict Transport Security (HSTS) ist ein Web-Sicherheitsmechanismus, der Webseiten vor Protokoll-Downgrade-Angriffen und Cookie-Hijacking schützt, indem Webbrowser gezwungen werden, nur über sichere HTTPS-Verbindungen mit einer Webseite zu kommunizieren.
Wie funktioniert HSTS?
Wenn ein Webbrowser von einer Webseite eine HSTS-Richtlinie erhält, kommuniziert er nur noch über eine sichere HTTPS-Verbindung mit dieser Webseite und weist alle Versuche, über eine unsichere HTTP-Verbindung zu kommunizieren, automatisch zurück.
Was sind die Vorteile von HSTS?
Die Hauptvorteile der Verwendung von HSTS sind die erhöhte Sicherheit für Webseiten-Besucher und die verbesserte Leistung der Webseite, da keine zusätzlichen Umleitungen von HTTP zu HTTPS erforderlich sind.
Wie kann ich feststellen, ob meine Webseite HSTS aktiviert hat?
Mithilfe von Online-Tools, wie einem HTTP-Header-Checker oder durch Überprüfen der Sicherheitsinformationen des Browsers für die Webseite, können Sie überprüfen, ob Ihre Webseite HSTS aktiviert hat.
Wie kann ich HSTS auf meiner Webseite aktivieren?
Um HSTS für Ihre Webseite zu aktivieren, fügen Sie einen Header an die HTTP-Antwort an, die Ihr Server an den Webbrowser sendet. Der Header in Ihrer .htaccess-Datei muss das Feld "Strict-Transport-Security" enthalten und das maximale Alter der Richtlinie angeben.
BeispielHeader always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Header onsuccess unset Strict-Transport-Security
max-agegibt die Zeit in Sekunden an, für die sich der Browser die HSTS-Richtlinie für diese Webseite merken soll. In diesem Beispiel ist der Wert auf 31536000 Sekunden gesetzt, was einem Jahr entspricht.includeSubDomainswendet die HSTS-Richtlinie auf alle Subdomains der im Host-Header angegebenen Domain an.preloadzeigt an, dass der Webseiten-Eigentümer seine Domain auf die HSTS-Preload-Liste gesetzt hat, wie unter https://hstspreload.org/ beschrieben.
Kann ich HSTS für meine Webseite preloaden?
Ja, Sie können HSTS für Ihre Webseite vorladen, indem Sie sie an die HSTS-Preload-Liste senden, die von Chrome verwaltet wird und ebenso von Firefox, Safari und Edge verwendet wird. Nach dem Preload erzwingen die Webbrowser automatisch HSTS für Ihre Webseite, ohne dass eine anfängliche HTTPS-Verbindung erforderlich ist.
Was sind die Kriterien für das Preloading von HSTS?
Für das Preloading muss Ihre Webseite die folgenden Kriterien erfüllen:
- Sie verfügen über ein gültiges HTTPS-(SSL-)Zertifikat.
- Sie leiten den gesamten HTTP-Verkehr auf HTTPS um.
- Alle Subdomains werden mit HTTPS übertragen.
- Der Strict Transport Security Header hat ein maximales Alter von mindestens 1 Jahr (31536000 Sekunden).
Sie können die Eignung Ihrer Webseite für das Preloading auf der HSTS-Preload-Webseite überprüfen.
Wie melde ich meine Webseite bei der HSTS-Preload-Liste an?
Sie können Ihre Webseite für die HSTS-Preload-Liste über das Anmeldeformular anmelden, das Sie unter https://hstspreload.org/ finden.
Wie oft sollte ich meine HSTS-Richtlinie erneuern?
Es wird empfohlen, die HSTS-Richtlinie jedes Jahr zu erneuern, um maximale Sicherheit für die Besucher Ihrer Webseite zu gewährleisten.
Durch die Implementierung von HTTP Strict Transport Security (HSTS) können Sie die Sicherheit und Leistung Ihrer Webseite für Ihre Besucher verbessern.