HTTP Strict Transport Security
HTTP Strict Transport Security (HSTS) ist eine Server-Einstellung, die eine sichere Verbindung erzwingt.
Warum HSTS?
Nach der Installation eines SSL-Zertifikats kann eine Website über eine HTTPS-Verbindung erreicht werden. Auf diese Weise werden Daten verschlüsselt übertragen, so dass sie nicht abgefangen werden können. Die Verwendung von HTTPS ist jedoch nicht ausreichend. Sie möchten auch die Verwendung von HTTPS erzwingen, auch wenn ein Besucher eine HTTP-Adresse verwendet.
Wie funktioniert HSTS?
Durch den Einsatz von HSTS wird der Browser prüfen, ob eine sichere Verbindung über HTTPS auf die besuchte Webseite erfolgt. Wenn dies nicht der Fall ist, werden die Besucher automatisch von http auf https und damit auf die sichere Version der Website umgeleitet. Wenn keine sichere Verbindung vorhanden ist, wird der Besucher eine Fehlermeldung sehen, und der Browser lehnt die Verbindung ab. Mit HSTS kann man 'Mann in der Mitte' Angriffe verhindern, weil eine Website auf diese Weise nicht auf eine ungesicherte Seite umgeleitet werden kann.
Um HSTS zu verwenden, werden zunächst alle ungesicherten Verbindungen auf eine sichere Verbindung umgeleitet, anschließend wird der Browser mittels eines HSTS-Headers angewiesen, sich von nun an ausschließlich über HTTPS mit der betreffenden Domäne zu verbinden. In der Kopfzeile wird sofort angezeigt, wie lange die Anweisung mittels einer 'max-age' Einstellung gespeichert werden soll. Mit der Einstellung IncludeSubdomains wird der HSTS-Header für alle Subdomänen der besuchten Domäne aktiviert.
HSTS Preloading
Wenn Sie eine Website zum ersten Mal besuchen, versucht der Browser, eine Verbindung über HTTP herzustellen. Dies wird dadurch verursacht, dass der Browser nicht weiß, ob die Website HSTS-fähig ist. Diese Verbindung ist anfällig für einen "Mann in der Mitte" Angriff. Wenn der Browser das Senden einer HSTS-Liste "vor dem Laden" unterstützt, wird von den Browsern automatisch eine HTTPS-Verbindung hergestellt. Um Ihre Website in die vorinstallierte HSTS-Liste aufzunehmen, können Sie hier eine Anfrage stellen. Die gesamte Preload-Liste ist über Chromium öffentlich zugänglich.
Support
| Browser | Unterstützung ab Version |
| Internet Explorer | 11 unter Windows 7 nach KB 3058515 Update |
| Microsoft Edge | Windows 10 |
| Opera | 12 |
| Firefox | 4, Preload-Liste seit Firefox 17 enthalten |
| Safari | OS X Mavericks |
| Chrome/Chromium |
4.0.211.0 |
| Blackberry browser und Webview | Blackberry OS 10.3.3 |
HSTS konfigurieren
ie Konfiguration von HSTS ist abhängig vom verwendeten Webserver:
Brauchen Sie Hilfe?
SSL Assistent
Rufen Sie uns an
+31 88 775 775 0
Schicken Sie uns eine Nachricht
SSLCheck
SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.
