HSTS
security
HSTS
security

HSTS

Wie kann ich HSTS (HTTP Strict Transport Security) nutzen?

Webseiten, die ausschließlich verschlüsselt abrufbar sind, leiten Nutzer üblicherweise sofort auf die HTTPS-Version weiter, wenn diese versuchen, die Seite unverschlüsselt über HTTP abzurufen. Doch diese Methode hat einen Nachteil: Ein Angreifer kann mittels einer Man-in-the-Middle-Attacke verhindern, dass der Nutzer auf die HTTPS-Version weitergeleitet wird; er kann dessen ganzen Verkehr abhören und dem Nutzer sogar eine gefälschte Version der Seite via HTTP präsentieren.

Um dies zu verhindern, wurde die Erweiterung HSTS, die im RFC 6797 standardisiert ist, eingeführt: ein HTTP-Header, mit dem der Server dem Browser signalisiert, dass eine Seite künftig nur noch über HTTPS abgerufen werden soll. Der Browser speichert diese Information lokal für einen im Header festgelegten Zeitraum (“Max. Age”), der im Prinzip wie ein Cache funktioniert.

Ab diesem Moment wendet der Client sich direkt über HTTPS an den Host, auch wenn der Nutzer explizit “http://” in der Adresszeile des Browsers eingibt oder einem “http”-Link dorthin folgt. Ein weiterer Vorteil für den Client, über den Sicherheitsgewinn hinaus: Durch die entfallende Umleitung verkürzen sich die Antwortzeiten.

Die Absicherung setzt voraus, dass der Browser des Nutzers HSTS unterstützt und die betreffende Seite bereits ein mal über HTTPS abgerufen hat. Unterstützt der Browser das Sicherheits­feature dagegen nicht, so kommen dem Nutzer die Vorteile von HSTS zwar nicht zugute, doch ist die grundsätzliche Erreichbarkeit der Seiten dadurch nicht eingeschränkt. Alle aktuellen Browserversionen unterstützten HSTS.

Sobald wir für Sie ein SSL-Zertifikat eingerichtet haben, können Sie über eine .htaccess-Datei HSTS aktivieren. Das Setzen des HSTS-Headers führt bei der Seite ssllabs.com zu einer “A+”-Bewertung des Zertifikats.

Um den HSTS-Header zu setzen, nutzen Sie bitte folgende .htaccess-Direktive:

Header set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload"

Im Regelfall wird HSTS immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS genutzt, legen Sie dazu bitte im gewünschten Webspace-Verzeichnis eine .htaccess-Datei mit folgendem Inhalt an (bzw. ergänzen diese Zeilen in einer bestehenden .htaccess-Datei):

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Header set Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload"

Alternativ können Sie die HTTPS-Umleitung auch im Kundenmenü aktivieren und in der .htaccess-Datei nur die HSTS-Nutzung konfigurieren.

Hinweis: Eine fehlerhafte HSTS-Konfiguration kann zur Nichterreichbarkeit Ihrer Webseite führen. Bitte informieren Sie sich daher unbedingt im Detail über die Funktionsweise von HSTS.