Was ist HSTS?
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen.
Ist HSTS aktiviert, versendet der Webserver bei HTTPS-Verbindungen einen zusätzlichen Header (Strict Transport Security) mit der Information, dass die angeforderte Seite für eine bestimmte Zeit nur über eine verschlüsselte Verbindung abgerufen werden soll.
Wie aktiviere ich HSTS?
Der HSTS Header lässt sich im Control Panel aktivieren. Öffnen Sie Ihren Server und wechseln Sie links zu "Webseiten". Bei der Webseite, bei der Sie den HSTS Header aktivieren wollen, klicken Sie auf "Bearbeiten" und scrollen nach unten zu "SSL Verschlüsselung". Beachten Sie, dass diese Option nur ersichtlich ist, wenn die Webseite mit Nginx betrieben wird. Hier können Sie HSTS aktivieren und konfigurieren.
Wenn ein Browser diesen Header einer HTTPS-Website sieht, weiss er, dass auf diese Domain nur über HTTPS (SSL oder TLS) zugegriffen werden darf. Unverschlüsselte Zugriffe wird er danach verweigern. Der Browser speichert diese Informationen für die im max-age angegebene Zeit. Es ist daher wichtig, dass Sie sicherstellen, dass Ihre Webseite und gegebenenfalls auch Subdomains, vollständig per HTTPS erreichbar sind und alle Inhalte ausschliesslich per HTTPS referenziert sind, bevor Sie HSTS aktivieren.
Es ist eine gute Praxis HSTS zuerst nur mit sehr kurzen Zeitspannen zu aktivieren und diese nach und nach zu verlängern. Starten Sie zum Beispiel mit 5 Minuten (300 Sekunden) und testen Sie Ihre Webseite ausgiebig. Erhöhen Sie den Wert für max-age danach Schritt für Schritt auf eine Stunde (3600), einen Tag (86400), eine Woche (604800), so wie sie sich sicher fühlen. Es wird empfohlen, den Wert für max-age auf mehr als 120 Tage (10368000), idealerweise auf ein Jahr (31536000) festzulegen.
Webseiten sollten darauf abzielen das maximale max-age zu verwenden, um eine erhöhte Sicherheit für die aktuelle Domain auf lange Sicht zu gewährleisten.
Wenn dieser Wert auf 0 Sekunden gesetzt wird, werden die entsprechenden HSTS Informationen gelöscht. Warten Sie dafür aber mindestens den zuvor eingetragenen Wert ab. Wenn Sie z.B. 10368000 Sekunden (120 Tage) gesetzt hatten, müssen sie mindestens 120 Tage abwarten bis die vorherige HSTS Informatione sicher aus allen Browsern gelöscht ist.
IncludeSubdomains
Durch das Aktivieren des includeSubdomains-Arguments gelten die HSTS Einstellungen auf für alle Subdomains. Wenn Sie diese Option entfernen, wird HTTPS nur für die Domain vorgeschrieben.
Preload
Als "HSTS Preload" bezeichnet man das Vorgehen, den Browsern bereits beim Hersteller eine vordefinierte Liste mit HSTS Informationen für verschiedene Webseiten mit zu geben. Damit weiss dieser bereits vor dem ersten Besuch einer entsprechend geschützten Seite, dass er diese nur über eine Verschlüsselte Verbindung kontaktieren soll. Durch das Aktivieren des preload-Arguments kann ein Anbieter von HSTS-Preload-Listen prüfen, ob Ihre Domain auf die Preload-Liste gesetzt werden kann und Sie als Besitzer dieser Domain damit einverstanden sind.
Ihre Einstellungen lassen sich über folgende Webseite prüfen: https://hstspreload.org
Diese Liste wird vom Chromium Project erstellt und wird von Chrome, Firefox und Safari genutzt. Diese Seiten sind nicht abhängig davon, ob HSTS Response Headers erstellt wurden, um die Richtlinie durchzusetzen. Stattdessen weiss der Browser schon, dass der Domainname alleinig HTTPS benötigt und führt HSTS durch, bevor irgendeine Verbindung oder Kommunikation zustande kommt.
Für Supportanfragen verwenden Sie bitte dieses Formular.