Was ist ein HSTS-Header?
Bildnachweis: Life Of Pix von Pexels

18.05.2022 15:34, zuletzt aktualisiert 07.08.2024 21:53
Christian Schwindling
17

Was ist ein HSTS-Header?

Was ist ein HSTS-Header, wie aktivieren Sie diesen für Ihre Domain und wie tragen Sie Ihre Domain für den Preload ein? All das erfahren Sie in unserem Blog.

Was ist ein HSTS-Header?

Wenn Sie eine Webseite betreiben und für diese bereits ein SSL-Zertifikat eingerichtet haben, haben Sie schon einen wichtigen Beitrag dazu geleistet, dass Internet sicherer zu machen.

Wenn Sie jedoch noch einen Schritt weitergehen möchten, sollten Sie auch HTTP Strict Transport Security konfigurieren.

Wenn Sie für Ihre Webseite einen HSTS-Header konfiguriert haben, wird der Webserver, welcher die Dateien für Ihre Webseite ausliefert dem Besucher mitteilen, dass eine Verbindung lediglich über HTTPS aufgebaut werden darf. Somit kann keine unverschlüsselte Verbindung aufgebaut werden.

Wie aktivere ich den HSTS-Header für mein Webhosting-Paket?

Unsere Webhosting-Kunden können den HSTS-Header in der Verwaltungsöberfläche in dem Menü-Punkt

* **SSL-Zertifikate**

über einen Klick auf den bearbeiten Button konfigurieren. Dort werden Sie folgendes Formular vorfinden.

siteadmin_hsts_header_config

  • Status: Hier wird der HSTS-Header aktiviert oder deaktiviert.

  • Max-Age: Die Max-Age-Direktive definiert wie lange der HSTS-Header für den Browser gelten soll. ACHTUNG: Wenn Sie beispielsweise die Max-Age auf eine Woche stellen, ist es für diesen Zeitraum ausschließlich möglich sich per HTTPS mit Ihrer Webseite zu verbinden.

  • Subdomain einbeziehen: Wenn Sie diese Möglichkeit nutzen, gilt die Konfiguration des HSTS-Headers auch für alle Subdomains.

  • Preload: Ohne die Preload-Direktive ist es möglich, die erste Verbindung zu der Webseite unverschlüsselt durchzuführen. Indem die Anweisung gesetzt wird, erzwingen Sie schon bei der ersten Verbindung die Verschlüsselung.

Die Anweisung zum Preload wird über eine externe Liste gepflegt. Damit die Direktive greift, müssen Sie diese dort noch hinterlegen.

Wie trage ich meine Domain für den Preload ein?

Wie bereits beschrieben, wird der HSTS-Header bei der ersten Verbindung zu einer Webseite übermittelt. Dies bedeuted jedoch, dass der Browser Ihres Besuchers vor der ersten Verbindung keinerlei Informationen über die HSTS-Konfiguration besitzt.

Um dieses Problem zu umgehen, wurde die HSTS-Preload-Liste geschaffen. Diese Liste ist in den gängigen Internet-Browsern hinterlegt und wird bei einem Verbindungsversuch abgefragt. Falls die Domain die Sie besuchen möchten in dieser Liste eingetragen ist, weiß der Browser, dass auch bereits die erste Verbindung ausschließlich über HTTPS stattfinden soll.

ACHTUNG: Einmal eingetragen ist der Preload für die von Ihnen definierte Max-Age festgeschrieben. Ein entfernen Ihrer Domain von der Preload-Liste ist mit einigem Aufwand verbunden.

Die Webseite muss für die definierte Dauer des HSTS-Headers immer ein gültiges SSL-Zertifikat vorweisen.

Browser HSTS HTTP SSL TLS Web-Browser Webbrowser Webserver