HSTS
Kurzdefinition
HTTP Strict Transport Security: Ein Header, der den Browser zwingt, eine Domain ausschliesslich über sicheres HTTPS aufzurufen.
Ausführliche Erklärung
HSTS (HTTP Strict Transport Security) zwingt Browser, eine Domain ausschliesslich über HTTPS aufzurufen, und verhindert so SSL-Stripping- und Downgrade-Angriffe. Nach dem ersten Empfang merkt sich der Browser die Richtlinie für die in `max-age` angegebene Dauer. Mit `includeSubDomains` gilt sie für alle Subdomains, mit `preload` kann die Domain in die fest in Browsern verankerte HSTS-Preload-Liste aufgenommen werden. Vorsicht: HSTS ist schwer rückgängig zu machen, daher sollte zuerst eine kürzere max-age getestet werden.
Beispiel
`Strict-Transport-Security: max-age=63072000; includeSubDomains; preload` erzwingt HTTPS für zwei Jahre inklusive aller Subdomains.
Im ausführlichen Fachartikel erklären wir HSTS mit Architektur, Praxisbeispielen und Best Practices im Detail:
Sie möchten HSTS direkt in der Praxis prüfen oder anwenden? Nutzen Sie das passende kostenlose Tool: