HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) ist eine Server-Einstellung, die eine sichere Verbindung erzwingt.

Durch den Einsatz von HSTS wird der Browser prüfen, ob eine sichere Verbindung über HTTPS auf die besuchte Webseite erfolgt. Wenn dies nicht der Fall ist, werden die Besucher automatisch von http auf https und damit auf die sichere Version der Website umgeleitet. Wenn keine sichere Verbindung vorhanden ist, wird der Besucher eine Fehlermeldung sehen, und der Browser lehnt die Verbindung ab. Mit HSTS kann man 'Mann in der Mitte' Angriffe verhindern, weil eine Website auf diese Weise nicht auf eine ungesicherte Seite umgeleitet werden kann.

Um HSTS zu nutzen, werden alle ungesicherten Verbindungen auf die sichere Variante umgeleitet, dann wird ein spezieller HSTS-Header gesetzt und weist den Browser an, von nun an nur HTTPS-Verbindungen für diese Domain zu verwenden. Die Einstellung 'max-age' im Header ermöglicht die Einstellung der Dauer, wie lange die Verbindung über HTTPS erfolgen soll. Die IncludeSubdomains-Einstellung macht den HSTS-Header für alle Subdomains der besuchten Domain aktiv.

Wenn Sie eine Website zum ersten Mal besuchen, versucht der Browser, eine Verbindung über HTTP herzustellen. Dies liegt daran, dass der Browser nicht weiß, dass die Website HSTS-fähig ist, die Verbindung ist deswegen anfällig für einen "Mann in der Mitte" -Angriff. Wenn der Browser das Senden einer HSTS-Liste "vor dem Laden" unterstützt, wird von den Browsern automatisch eine HTTPS-Verbindung hergestellt. Um Ihre Website in die vorinstallierte HSTS-Liste aufzunehmen, können Sie eine Anfrage bei hier einreichen. Die gesamte Preload-Liste ist über Chromium öffentlich zugänglich.

Support

BrowserUnterstützung ab Version
Google Chrome und Chromium 4.0.211.0
Firefox 4, Preload-Liste seit Firefox 17 enthalten
Opera 12
Safari OS X Mavericks
Internet Explorer 11 unter Windows 7 nachKB 3058515 Update
Microsoft Edge Windows 10
Blackberry browser und Webview Blackberry OS 10.3.3

HSTS konfigurieren

Die Konfiguration von HSTS ist abhängig vom verwendeten Webserver:

HSTS für IIS konfigurieren

HSTS für Apache konfigurieren

HSTS für Nginx konfigurieren

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.