Was ist HSTS?
HTTP Strict Transport Security (HSTS) ist eine Anweisung des Webservers, das den Web-Browser (oder ein anderes Programm) darüber informiert, wie die Verbindung zwischen Server und Web-Browser gehandhabt werden soll. Diese Information wird gleich am Anfang im sogenannten „Response Header“ gesendet.
Eine einfache Umleitung von HTTP auf HTTPS kann immer noch umgangen werden. Der „Strict-Transport-Security“ Parameter zwingt den Web-Browser, die Verbindung verschlüsselt über HTTPS aufzubauen und ignoriert dabei jedes Skript, das Ressourcen der Domain über HTTP laden will. Damit können z.B. weder Cookies oder Session IDs der Webseite gesammelt noch die Webseite auf eine Phishing-Seite umgeleitet werden.
Warum HSTS?
- HSTS ist eine Möglichkeit, die Sicherheit der Verbindung zu Deiner Webseite zu erhöhen.
- Die erhöhte Sicherheit kann sich auch positive auf das Ranking von Google auswirken.
Welche Voraussetzungen müssen für HSTS erfüllt sein?
- gültiges SSL-Zertifikat für die Webseite und alle weiteren Subdomains
- Umleitung aller Anfragen von HTTP auf HTTPS
- HSTS max-age muss mindestens 1 Jahr betragen
- HSTS includeSubDomains muss aktiviert sein
- HSTS preload muss aktiviert sein
Was bedeuten die einzelnen Werte für HSTS?
HSTS max-age
Zeit in Sekunden, während der der Web-Browser die Webseite als Known HSTS Host betrachtet und keine Verbindungen über HTTP aufbaut.
HSTS includeSubDomains
Stellt sicher, dass die HSTS-Richtlinie nicht nur für die Domain, sondern auch für alle Sub-Domains angewendet wird, z. B. example.de und www.example.de.
HSTS preload
Ob die Webseite in die von Chrome geführte (und von Firefox und Safari, IE 11 und Edge verwendete) HSTS-Preload-Liste aufgenommen werden soll. Wenn HSTS preload aktiv ist, wird der Web-Browser gezwungen, die Seite über HTTPS aufzurufen, da dem Web-Browser schon im Vorfeld bekannt ist, dass diese Seite nur über HTTPS zu erreichen ist.
Das Senden der Preload-Direktive kann Probleme verursachen und Benutzer daran hindern, auf die Webseite und ihre Subdomains zuzugreifen, wenn Du die Seite auf HTTP zurückstellst.
Wenn HSTS preload aktiv ist, kannst Du Deine Webseite unter https://hstspreload.org zu der von Chrome geführten Liste hinzufügen.
HSTS mit einer Webseite testen
Ehe Du HSTS für Deine Webseite „scharf schaltest“, solltest Du Deine Seite erst einmal mit HSTS testen. Für einen Test müssen folgende Voraussetzungen erfüllt sein:
- gültiges SSL-Zertifikat für die Webseite und alle weiteren Subdomains
- Umleitung aller Anfragen von HTTP auf HTTPS
Auf unseren Managed Servern kannst Du HSTS nur aktivieren, wenn Du für die Webseite auch ein gültiges SSL-Zertifikat eingerichtet hast. Andere Voraussetzungen werden automatisch mit angepasst, sobald Du HSTS aktivierst.
Wenn Du HSTS aktiviert hast, setzt Du zu Testzwecken zunächst „HSTS max-age“ auf eine Woche, um etwaige Probleme erkennen zu können. Wenn die Testphase erfolgreich und ohne Probleme verlaufen ist, kannst Du „HSTS max-age“ auf einen Monat setzen und Deine Tests verlängern, oder Du aktivierst HSTS gleich vollständig.
HSTS für eine Webseite aktivieren
Wenn Deine Webseite ein gültiges SSL-Zertifikat hat, kannst Du HSTS aktivieren. Melde Dich in ISPConfig an und öffne die entsprechende Webseite. Unter „Erweitert“ findest Du die passenden Optionen: