HSTS: Unterschied zwischen den Versionen
Keine Bearbeitungszusammenfassung |
Keine Bearbeitungszusammenfassung |
||
| Zeile 21: | Zeile 21: | ||
== Links == | == Links == | ||
# https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security | # https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security | ||
[[Kategorie:Glossar]] | |||
Aktuelle Version vom 17. April 2026, 16:00 Uhr
HSTS - Strict Transport Security
Beschreibung
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht.
- Kernfunktionen und Vorteile von HSTS
- Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird.
- Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking.
- Verbesserte Performance: Erspart Weiterleitungen von http:// auf https://.
- Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains).
Einrichtung und Nutzung
- Implementierung
Der Server sendet den Header Strict-Transport-Security: max-age=....
- Preloading
Um den allerersten unverschlüsselten Aufruf abzusichern, können Domains in eine HSTS Preload-Liste aufgenommen werden, die in Browsern fest hinterlegt ist.
HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern.