Was ist HSTS?


HSTS (HTTP Strict Transport Security) teilt dem Browser des Seitenbesuchers mit, dass für eine gewisse Zeit ausschließlich sichere Verbindungen (HTTPS) verwendet werden sollen.


Warum sollte ich HSTS verwenden?


Wenn du ein SSL-Zertifikat eingerichtet hast und somit eine sichere Verbindung zu deiner Website zur Verfügung stellst, solltest du HSTS in Kombination mit einer HTTPS-Weiterleitung auf jeden Fall aktivieren. So bietest du deinen Websitebesuchern optimalen Schutz.


Bei so genannten Man-in-the-Middle Angriffen versucht ein Angreifer den Aufbau einer verschlüsselten Verbindung zu verhindern, ohne dass der Benutzer etwas davon merkt. Der Angreifer kann dann unbemerkt alle übermittelten Daten mitlesen. Mit HSTS soll bereits am Beginn der Verbindung eine HTTPS Verschlüsselung erzwungen und damit die Gefahr solcher Angriffe minimiert werden.


Unter optimalem Schutz versteht man in der Informationssicherheit unter anderem Integrität, Vertraulichkeit und Authentizität (Echtheit) sicherzustellen.

  • Integrität: Daten / Informationen können korrekt, unversehrt und ohne von jemandem modifiziert zu werden, übertragen / ausgetauscht werden.
    Wir bzw. unsere Nutzer können darauf vertrauen, dass die erhaltenen Daten korrekt sind.

  • Vertraulichkeit: Daten / Informationen können nur von vertrauten Teilnehmern eingesehen werden. Unautorisierten Personen ist es nicht möglich durch Aufzeichnungen, Beobachtungen oder Verfolgungen an Informationen zu gelangen.
    Nur unsere Nutzer und wir können die Inhalte sehen.

  • Authentizität: Identitätsnachweis der Kommunikationspartner.
    Es wird sichergestellt, mit dem richtigen und echten Gegenüber die Daten auszutauschen.


Wie funktioniert HSTS?


Bei HSTS müssen sowohl Server als auch Browser entsprechende Aufgaben erfüllen.

Der Server sendet bei HTTPS-Verbindungen ein Strict-Transport-Security-Flag im Header der Antworten mit. Dieses teilt dem Browser gleich zu Beginn mit, in Zukunft ausschließlich verschlüsselte Verbindungen für diese Domain aufzubauen.

Dem Flag wird auch eine Zeit (max-age in Sekunden) mitgegeben. Diese definiert, wie lange der Browser ausschließlich sichere Verbindungen zur Domain aufbauen soll. Gängig sind hier Werte von einem Jahr.


Mit "includeSubDomains" kann die Umleitung auch für alle Subdomains aktiviert werden.

Viele Browser verwenden auch sogenannte HSTS preload lists. Dabei sind dem Browser wichtige Domains bereits bekannt und kann für diese automatisch eine sichere Verbindung aufbauen. Die Eintragung zusätzlicher Domains für derartige "preloads" ist dabei kostenlos möglich.

Wird das HSTS-Flag über eine nicht sichere Verbindung übertragen (HTTP), so muss der Browser dieses verwerfen. Es ist daher ratsam neben HSTS auch eine Umleitung von http auf https zu aktivieren.



HSTS - HTTP Strict Transport Security

Wie und wo aktiviere ich HSTS?


Im Domaintechnik® Control Panel kann unter Domains >Aktion HSTS, HSTS Max-Age & HTTPS Weiterleitung aktiviert werden.

Hier gibts die passende Anleitung dazu.