Was ist HSTS?
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen.
Ist HSTS aktiviert, versendet der Webserver bei HTTPS-Verbindungen einen zusätzlichen Header (Strict Transport Security) mit der Information, dass die angeforderte Website für eine bestimmte Zeit nur über eine verschlüsselte Verbindung abgerufen werden soll.
Wie aktiviere ich HSTS?
Der HSTS Header lässt sich im Hostpoint Control Panel wie folgt aktivieren:
- Melden Sie sich mit Ihrer Hostpoint ID im Hostpoint Control Panel an.
- Öffnen Sie Ihren Server und wechseln Sie links zu «Websites».
- Klicken Sie bei der Website, für die Sie HSTS aktivieren möchten, auf «Bearbeiten».
- Scrollen Sie nach unten bis zum Abschnitt «SSL-Verschlüsselung» und klappen Sie diesen auf.
- Hier können Sie HSTS aktivieren und konfigurieren.
Hinweis: Beachten Sie, dass diese Option nur ersichtlich ist, wenn die Website mit Nginx betrieben wird.
Wenn ein Browser diesen Header einer HTTPS-Website sieht, weiss er, dass auf diese Domain nur über HTTPS (SSL oder TLS) zugegriffen werden darf. Unverschlüsselte Zugriffe wird er danach verweigern. Der Browser speichert diese Informationen für die unter «max-age» angegebene Zeit. Es ist daher wichtig, dass Sie sicherstellen, dass Ihre Website und gegebenenfalls auch Subdomains, vollständig per HTTPS erreichbar sind und alle Inhalte ausschliesslich per HTTPS referenziert sind, bevor Sie HSTS aktivieren.
Es ist eine gute Praxis, HSTS zuerst nur mit sehr kurzen Zeitspannen zu aktivieren und diese nach und nach zu verlängern. Starten Sie zum Beispiel mit 5 Minuten (300 Sekunden) und testen Sie Ihre Website ausgiebig. Erhöhen Sie den Wert für «max-age» danach Schritt für Schritt auf eine Stunde (3600), einen Tag (86400), eine Woche (604800), so wie Sie sich sicher fühlen. Es wird empfohlen, den Wert für «max-age» auf mehr als 120 Tage (10368000), idealerweise auf ein Jahr (31536000) festzulegen.
Websites sollten darauf abzielen, das maximale «max-age» zu verwenden, um eine erhöhte Sicherheit für die aktuelle Domain auf lange Sicht zu gewährleisten.
Wenn dieser Wert auf 0 Sekunden gesetzt wird, werden die entsprechenden HSTS-Informationen gelöscht. Warten Sie dafür aber mindestens den zuvor eingetragenen Wert ab. Wenn Sie z. B. 10368000 Sekunden (120 Tage) gesetzt hatten, müssen Sie mindestens 120 Tage abwarten, bis die vorherigen HSTS-Informationen sicher aus allen Browsern gelöscht sind.
IncludeSubdomains
Durch das Aktivieren der Option «includeSubdomains» gelten die HSTS-Einstellungen auch für alle Subdomains. Wenn Sie diese Option deaktivieren, wird HTTPS nur für die Hauptdomain vorgeschrieben.
Preload
Als «HSTS Preload» bezeichnet man das Vorgehen, den Browsern bereits beim Hersteller eine vordefinierte Liste mit HSTS-Informationen für verschiedene Websites mitzugeben. Damit wissen die Browser bereits vor dem ersten Besuch einer entsprechend geschützten Website, dass sie diese nur über eine verschlüsselte Verbindung kontaktieren sollen. Durch das Aktivieren der Option «preload» kann ein Anbieter von HSTS-Preload-Listen prüfen, ob Ihre Domain auf die Preload-Liste gesetzt werden kann und Sie als Besitzer dieser Domain damit einverstanden sind.
Ihre Einstellungen lassen sich über folgende Website prüfen: https://hstspreload.org
Diese Liste wird vom Chromium Project erstellt und wird von den meisten grossen Browsern genutzt. Diese Websites sind nicht abhängig davon, ob HSTS Response Header erstellt wurden, um die Richtlinie durchzusetzen. Stattdessen weiss der Browser schon, dass der Domainname alleinig HTTPS benötigt und führt HSTS durch, bevor irgendeine Verbindung oder Kommunikation zustande kommt.
Für Supportanfragen verwenden Sie bitte dieses Formular.