HSTS

HSTS - Strict Transport Security

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht. Kernfunktionen und Vorteile von HSTS:

• Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird.
• Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking.
• Verbesserte Performance: Erspart Weiterleitungen von http:// auf https://.
• Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains).

Einrichtung und Nutzung

Implementierung

• Der Server sendet den Header Strict-Transport-Security: max-age=....

Preloading

• Um den allerersten unverschlüsselten Aufruf abzusichern, können Domains in eine HSTS Preload-Liste aufgenommen werden, die in Browsern fest hinterlegt ist.

HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern.

1. https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security