Zum Inhalt springen

HSTS

Aus Foxwiki
Version vom 17. April 2026, 16:00 Uhr von Dirkwagner (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)

HSTS - Strict Transport Security

Beschreibung

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Webbrowser zwingt, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Durch einen speziellen HTTP-Header (Strict-Transport-Security) werden unsichere HTTP-Verbindungen und Downgrade-Angriffe (z.B. SSL-Stripping) verhindert, was die Sicherheit erhöht.

Kernfunktionen und Vorteile von HSTS
  • Verbindungs-Erzwingung: Browser wandeln alle HTTP-Anfragen automatisch in HTTPS um, bevor die Anfrage gesendet wird.
  • Schutz vor Angriffen: Schützt effektiv vor Man-in-the-Middle-Angriffen, Protokoll-Downgrades und Cookie-Hijacking.
  • Verbesserte Performance: Erspart Weiterleitungen von http:// auf https://.
  • Parameter: Der Header enthält max-age (Dauer der Gültigkeit in Sekunden) und optional includeSubDomains (Anwendung auf alle Subdomains).

Einrichtung und Nutzung

Implementierung

Der Server sendet den Header Strict-Transport-Security: max-age=....

Preloading

Um den allerersten unverschlüsselten Aufruf abzusichern, können Domains in eine HSTS Preload-Liste aufgenommen werden, die in Browsern fest hinterlegt ist.

HSTS ist ein wesentlicher Bestandteil moderner Web-Sicherheit, um Datenlecks und Session Hijacking zu verhindern.

  1. https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security
Abgerufen von „https://wiki.foxtom.de/index.php?title=HSTS&oldid=163919