HSTS | Was ist das? HSTS Header aktivieren etc.

Das Wichtigste auf einen Blick

Was ist HSTS? HSTS erhöht die Sicherheit einer Website, indem HTTPS-Verbindungen für alle Besucher der Website erzwungen werden.
HSTS Voraussetzung: Voraussetzung für HSTS ist, dass ein gültiges SSL Zertifikat oder ein kostenloses Let’s Encrypt Zertifikat aktiv ist.
HTTPS Weiterleitung: Bei aktivem HSTS ist auch eine Weiterleitung von HTTP auf HTTPS erforderlich.
HSTS aktivieren: HSTS, HSTS Max-Age, HTTPS Redirect usw. können in Ihrem Hosting Control PanelControl-Panel Unser Control Panel erleichtert Ihnen die Verwaltung Ihres Webhostings enorm. Statt sich mit komplexen technischen Befehlen oder Programmierkenntnissen auseinanderzusetzen, können Sie alle wichtigen Einstellungen einfach per Mausklick vornehmen. mit wenigen Klicks aktiviert werden.

Was ist HSTS?

HSTS steht für „HTTP Strict Transport Security“. Es handelt sich um eine Sicherheitsmaßnahme, die den Browser anweist, eine Website nur über eine sichere HTTPS-Verbindung zu öffnen.

Dadurch werden Man-in-the-Middle Angriffe und unsichere HTTP-Aufrufe verhindert.

Warum sollte ich HSTS verwenden?

Wenn Sie ein SSL-Zertifikat eingerichtet haben und somit eine sichere Verbindung zu Ihrer Website zur Verfügung stellen, sollten Sie HSTS in Kombination mit einer HTTPS-Weiterleitung auf jeden Fall aktivieren. So bieten Sie Ihren Websitebesuchern optimalen Schutz.

Man-in-the-Middle Angriffe verhindern

Bei so genannten Man-in-the-Middle Angriffen versucht ein Angreifer den Aufbau einer verschlüsselten HTTPS-Verbindung zu verhindern (SSL Stripping), ohne dass der Benutzer etwas davon merkt. Der Angreifer kann dann unbemerkt alle übermittelten Daten mitlesen.

Mit HSTS soll bereits am Beginn der Verbindung eine HTTPS Verschlüsselung erzwungen und damit die Gefahr solcher Angriffe minimiert werden.

Optimalen Schutz sicherstellen:

Unter optimalem Schutz versteht man in der Informationssicherheit unter anderem Integrität, Vertraulichkeit und Authentizität (Echtheit) sicherzustellen.

Integrität gewährleistet, dass Daten/Informationen korrekt, unversehrt und ohne jegliche Modifikation von Dritten übertragen/ausgetauscht werden.
Unsere Nutzer und wir können darauf vertrauen, dass die erhaltenen Daten korrekt sind.
Vertraulichkeit stellt sicher, dass Daten/Informationen ausschließlich von vertrauenswürdigen Teilnehmern eingesehen werden können. Unautorisierte Personen haben keine Möglichkeit, durch Aufzeichnungen, Beobachtungen oder Verfolgungen an Informationen zu gelangen.
Nur unsere Nutzer und wir haben Einsicht in die Inhalte.
Authentizität bezieht sich auf den Identitätsnachweis der Kommunikationspartner. Es wird sichergestellt, dass die Daten nur mit dem richtigen und authentischen Gegenüber ausgetauscht werden.

Wie funktioniert HSTS?

Bei HSTS müssen sowohl Server als auch Browser entsprechende Aufgaben erfüllen.

Der Server sendet bei HTTPS-Verbindungen ein Strict-Transport-Security-Flag (HSTS-Flag) im Header der Antworten mit. Dieses teilt dem Browser gleich zu Beginn mit, in Zukunft ausschließlich verschlüsselte Verbindungen für diese Domain aufzubauen.

Dem Flag wird auch eine Zeit (max-age in Sekunden) mitgegeben. Diese definiert, wie lange der Browser ausschließlich sichere Verbindungen zur Domain aufbauen soll. Gängig sind hier Werte von einem Jahr.

Mit „includeSubDomains“ kann die Umleitung auch für alle Subdomains aktiviert werden.

Viele Browser verwenden auch sogenannte HSTS preload lists. Dabei sind dem Browser wichtige Domains bereits bekannt und kann für diese automatisch eine sichere Verbindung aufbauen. Die Eintragung zusätzlicher Domains für derartige „preloads“ ist dabei kostenlos möglich.

Wie aktiviere ich HSTS?

Im Domaintechnik^® Control Panel können Sie im Modul Domains unter „Aktion“ folgende Einstellungen aktivieren:

HSTS Header aktivieren, Max-Age setzen, und HTTPS Redirect aktivieren

HSTS aktivieren:
Sobald ein Besucher Ihre Seite aufruft, wird der Aufruf sowie alle zukünftigen Aufrufe auf https:// umgeleitet.
HSTS Max-Age setzen:
Der Max-Age Wert ist die Gültigkeitsdauer, wenn der HSTS Header entfernt wird, werden die Aufrufe trotzdem noch bis zum Ablauf der Max-Age weitergeleitet.
Ein Max-Age Wert von einem Jahr ist die Standardeinstellung. Wenn SSL/HSTS nur kurz getestet werden soll, sollte der Max-Age Wert nur auf 5 Minuten gesetzt werden.
HTTPS Weiterleitung einrichten:
Wenn Sie HSTS verwenden, müssen Sie auch eine automatische Weiterleitung von http:// ihredomain.tld zu https:// ihredomain.tld einrichten. Sie können dies mit der Option „Auf HTTPS umleiten“ oder einem .htaccess Redirect erreichen.

HTTPS redirect nicht vergessen

Wird das HSTS-Flag über eine nicht sichere Verbindung übertragen (HTTP), so muss der Browser dieses verwerfen. Es ist daher notwendig neben HSTS auch eine Umleitung von http auf https zu aktivieren.

www. für HTTPS Weiterleitung nutzen:
Wenn Sie „Auf HTTPS umleiten“ aktiviert haben, können Sie zusätzlich eine Weiterleitung von https://ihredomain.tld auf https://www.ihredomain.tld einrichten.

Was ist HSTS max-age?

Die max-age gibt dem Browser an, wie lange er sich den HSTS-Header nach der ersten Verbindung merken soll.

Beispiel:

Sie haben für Ihre Website einen HSTS-Header mit einem max-age Wert von einem Jahr aktiviert.

Nun ruft ein Besucher Ihre Website zum ersten Mal am 23.01.2024 auf.

Der HSTS-Header teilt dem Browser nun mit, dass er Verbindungen zu Ihrer Website ausschließlich über eine verschlüsselte Verbindung herstellen darf und merkt das für den Zeitraum von einem Jahr (bis 23.01.2025) vor.

Am 23.01.2025 läuft der Header (nur lokal beim Websitebesucher) ab.

Bei der nächsten Verbindung wird der Browser also zuerst wieder versuchen eine unverschlüsselte Verbindung aufzubauen und muss erneut auf https weitergeleitet werden.

Ist ein hoher oder ein niedriger max-age Wert besser?

Ein hoher max-age Wert, der den HSTS-Header so lange wie möglich speichert, ist sinnvoll. Dadurch müssen Besucher nur selten von http auf https umgeleitet werden.

Wenn Sie SSL nur ausprobieren oder Ihre Website in Zukunft vielleicht wieder ohne SSL betreiben, sollten Sie den max-age-Wert nicht zu hoch einstellen. Sonst wird auch nach dem Löschen des SSL-Zertifikats weiterhin versucht, eine verschlüsselte Verbindung aufzubauen.

Was ist HSTS Preloading?

HSTS Preload ist eine Funktion, bei der Websites in eine globale Liste aufgenommen werden, die im Browser vorinstalliert ist. Websites, die in dieser Liste aufgeführt sind, werden vom Browser automatisch über eine sichere HTTPS-Verbindung aufgerufen, auch wenn der Benutzer die Website zum ersten Mal besucht.

Dies bietet von Anfang an Schutz vor Angriffen über unsichere HTTP-Verbindungen, da HSTS bereits vor dem Verbindungsaufbau aktiviert wird.

Die Liste wird unter anderem von Chrome, Firefox, Opera, Safari, IE 11 und Edge verwendet.

HSTS Check

Wenn Sie HSTS aktiviert haben, können Sie abschließend mit einem „HSTS Check“ überprüfen, ob die Einstellungen korrekt funktionieren.

Domsignal HSTS Check durchführen.

FAQ

Unsere meistgestellten Fragen

Soll man HSTS aktivieren?

Ja, die Aktivierung von HSTS ist empfehlenswert. HSTS erzwingt eine sichere HTTPS-Verbindung für eine Website, wodurch Man-in-the-Middle-Angriffe verhindert werden. Angreifer können dann keine unverschlüsselten Daten abfangen oder Inhalte manipulieren. Durch das Setzen eines HSTS-Headers weist der Server den Browser an, zukünftig ausschließlich HTTPS für diese Domain zu verwenden. Dies erhöht die Sicherheit deutlich.

Was ist ein HSTS Header?

Ein HSTS-Header (HTTP Strict Transport Security Header) ist ein HTTP-Header, der Websites ermöglicht, Browser anzuweisen, dass eine Verbindung zu dieser Website immer über eine sichere HTTPS-Verbindung hergestellt werden soll.

Verfasst von

Fabian

Mit Wurzeln in der Webentwicklung kombiniert Fabian technisches Wissen mit Online-Marketing und legt dabei Wert auf nutzerzentrierte Websites und organisches Wachstum.