HSTS: Unterschied zwischen den Versionen
Die Seite wurde neu angelegt: „'''HSTS''' - Strict Transport Security == Beschreibung == HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht. Kernfunktionen und Vorteile von HSTS: * Verbindungs-E…“ |
Keine Bearbeitungszusammenfassung |
||
| Zeile 3: | Zeile 3: | ||
== Beschreibung == | == Beschreibung == | ||
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht. | HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht. | ||
; Kernfunktionen und Vorteile von HSTS | |||
* Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird. | * Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird. | ||
* Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking. | * Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking. | ||
| Zeile 10: | Zeile 10: | ||
* Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains). | * Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains). | ||
== Einrichtung und Nutzung == | |||
Implementierung | ; Implementierung | ||
Der Server sendet den Header Strict-Transport-Security: max-age=.... | |||
Preloading | ; Preloading | ||
Um den allerersten unverschlüsselten Aufruf abzusichern, können Domains in eine HSTS Preload-Liste aufgenommen werden, die in Browsern fest hinterlegt ist. | |||
HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern. | HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern. | ||
Version vom 17. April 2026, 16:00 Uhr
HSTS - Strict Transport Security
Beschreibung
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht.
- Kernfunktionen und Vorteile von HSTS
- Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird.
- Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking.
- Verbesserte Performance: Erspart Weiterleitungen von http:// auf https://.
- Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains).
Einrichtung und Nutzung
- Implementierung
Der Server sendet den Header Strict-Transport-Security: max-age=....
- Preloading
Um den allerersten unverschlüsselten Aufruf abzusichern, können Domains in eine HSTS Preload-Liste aufgenommen werden, die in Browsern fest hinterlegt ist.
HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern.