Was ist HSTS?


HSTS (HTTP Strict Transport Security) teilt dem Browser des Seitenbesuchers mit, dass für eine gewisse Zeit ausschließlich sichere Verbindungen (HTTPS) verwendet werden sollen.


Warum sollte ich HSTS verwenden?


Wenn Sie ein SSL-Zertifikat eingerichtet haben und somit eine sichere Verbindung zu Ihrer Website zur Verfügung stellen, sollten Sie HSTS in Kombination mit einer HTTPS-Weiterleitung auf jeden Fall aktivieren. So bieten Sie Ihren Websitebesuchern optimalen Schutz.


Bei so genannten Man-in-the-Middle Angriffen versucht ein Angreifer den Aufbau einer verschlüsselten Verbindung zu verhindern, ohne dass der Benutzer etwas davon merkt. Der Angreifer kann dann unbemerkt alle übermittelten Daten mitlesen. Mit HSTS soll bereits am Beginn der Verbindung eine HTTPS Verschlüsselung erzwungen und damit die Gefahr solcher Angriffe minimiert werden.


Unter optimalem Schutz versteht man in der Informationssicherheit unter anderem Integrität, Vertraulichkeit und Authentizität (Echtheit) sicherzustellen.

  • Integrität: Daten / Informationen können korrekt, unversehrt und ohne von jemandem modifiziert zu werden, übertragen / ausgetauscht werden.
    Wir bzw. unsere Nutzer können darauf vertrauen, dass die erhaltenen Daten korrekt sind.

  • Vertraulichkeit: Daten / Informationen können nur von vertrauten Teilnehmern eingesehen werden. Unautorisierten Personen ist es nicht möglich durch Aufzeichnungen, Beobachtungen oder Verfolgungen an Informationen zu gelangen.
    Nur unsere Nutzer und wir können die Inhalte sehen.

  • Authentizität: Identitätsnachweis der Kommunikationspartner.
    Es wird sichergestellt, mit dem richtigen und echten Gegenüber die Daten auszutauschen.


Wie funktioniert HSTS?


Bei HSTS müssen sowohl Server als auch Browser entsprechende Aufgaben erfüllen.

Der Server sendet bei HTTPS-Verbindungen ein Strict-Transport-Security-Flag im Header der Antworten mit. Dieses teilt dem Browser gleich zu Beginn mit, in Zukunft ausschließlich verschlüsselte Verbindungen für diese Domain aufzubauen.

Dem Flag wird auch eine Zeit (max-age in Sekunden) mitgegeben. Diese definiert, wie lange der Browser ausschließlich sichere Verbindungen zur Domain aufbauen soll. Gängig sind hier Werte von einem Jahr.


Mit "includeSubDomains" kann die Umleitung auch für alle Subdomains aktiviert werden.

Viele Browser verwenden auch sogenannte HSTS preload lists. Dabei sind dem Browser wichtige Domains bereits bekannt und kann für diese automatisch eine sichere Verbindung aufbauen. Die Eintragung zusätzlicher Domains für derartige "preloads" ist dabei kostenlos möglich.

Wird das HSTS-Flag über eine nicht sichere Verbindung übertragen (HTTP), so muss der Browser dieses verwerfen. Es ist daher ratsam neben HSTS auch eine Umleitung von http auf https zu aktivieren.



HSTS - HTTP Strict Transport Security

Wie und wo aktiviere ich HSTS?


Im Domaintechnik® Control Panel kann unter Domains >Aktion HSTS, HSTS Max-Age & HTTPS Weiterleitung aktiviert werden.

Hier gibts die passende Anleitung dazu.


Was ist die max-age?

Die max-age gibt dem Browser an, wie lange er sich den HSTS-Header nach der ersten Verbindung merken soll.


  • Beispiel: Du hast einen HSTS-Header mit einer max-age Wert von einem Jahr. Nun ruft ein Besucher deine Webseite zum ersten Mal am 23.03.2022 auf.
    Der HSTS-Header teilt dem Browser nun mit, dass er Verbindungen zu deiner Webseite ausschließlich über eine verschlüsselte Verbindung herstellen darf und merkt das für den Zeitraum der max-age vor.

    Nun am 23.03.2023 (1 Jahr später) läuft der Header (nur lokal beim Websitebesucher) ab.
    Bei der nächsten Verbindung wird der Browser also zuerst wieder versuchen eine unverschlüsselte Verbindung aufzubauen und muss erneut auf https weitergeleitet werden.

    Darum: Um sich jedes mal den SSL-Handshake zu sparen macht es Sinn den max-age Wert so hoch zu setzen, dass der HSTS-Header so lang wie möglich gespeicher wird, damit nur selten weitergeleitet werden muss.

    Allerdings: wenn Sie SSL nur ausprobieren oder in Zukunft ihre Webseite vielleicht wieder ohne SSL zu betreiben, so sollten Sie den max-age Wert nicht zu hoch setzen da sonst auch nach Löschung des SSL-Zertifikats weiterhin versucht wird eine verschlüsselte Verbindung herzustellen.