HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) ist eine Server-Einstellung, die eine sichere Verbindung erzwingt.

Warum HSTS?

Nach der Installation eines SSL-Zertifikats kann eine Website über eine HTTPS-Verbindung erreicht werden. Auf diese Weise werden Daten verschlüsselt übertragen, so dass sie nicht abgefangen werden können. Die Verwendung von HTTPS ist jedoch nicht ausreichend. Sie möchten auch die Verwendung von HTTPS erzwingen, auch wenn ein Besucher eine HTTP-Adresse verwendet.

Wie funktioniert HSTS?

Durch den Einsatz von HSTS wird der Browser prüfen, ob eine sichere Verbindung über HTTPS auf die besuchte Webseite erfolgt. Wenn dies nicht der Fall ist, werden die Besucher automatisch von http auf https und damit auf die sichere Version der Website umgeleitet. Wenn keine sichere Verbindung vorhanden ist, wird der Besucher eine Fehlermeldung sehen, und der Browser lehnt die Verbindung ab. Mit HSTS kann man 'Mann in der Mitte' Angriffe verhindern, weil eine Website auf diese Weise nicht auf eine ungesicherte Seite umgeleitet werden kann.

Um HSTS zu verwenden, werden zunächst alle ungesicherten Verbindungen auf eine sichere Verbindung umgeleitet, anschließend wird der Browser mittels eines HSTS-Headers angewiesen, sich von nun an ausschließlich über HTTPS mit der betreffenden Domäne zu verbinden. In der Kopfzeile wird sofort angezeigt, wie lange die Anweisung mittels einer 'max-age' Einstellung gespeichert werden soll. Mit der Einstellung IncludeSubdomains wird der HSTS-Header für alle Subdomänen der besuchten Domäne aktiviert.

HSTS Preloading

Wenn Sie eine Website zum ersten Mal besuchen, versucht der Browser, eine Verbindung über HTTP herzustellen. Dies wird dadurch verursacht, dass der Browser nicht weiß, ob die Website HSTS-fähig ist. Diese Verbindung ist anfällig für einen "Mann in der Mitte" Angriff. Wenn der Browser das Senden einer HSTS-Liste "vor dem Laden" unterstützt, wird von den Browsern automatisch eine HTTPS-Verbindung hergestellt. Um Ihre Website in die vorinstallierte HSTS-Liste aufzunehmen, können Sie hier eine Anfrage stellen. Die gesamte Preload-Liste ist über Chromium öffentlich zugänglich.

Support

Browser Unterstützung ab Version
Internet Explorer 11 unter Windows 7 nach KB 3058515 Update
Microsoft Edge Windows 10
Opera 12
Firefox 4, Preload-Liste seit Firefox 17 enthalten
Safari OS X Mavericks
Chrome/Chromium

4.0.211.0

Blackberry browser und Webview Blackberry OS 10.3.3

HSTS konfigurieren

ie Konfiguration von HSTS ist abhängig vom verwendeten Webserver:

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.