Sprache auswählen

Was ist HSTS?

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen.

Ist HSTS aktiviert, versendet der Webserver bei HTTPS-Verbindungen einen zusätzlichen Header (Strict Transport Security) mit der Information, dass die angeforderte Seite für eine bestimmte Zeit nur über eine verschlüsselte Verbindung abgerufen werden soll.

Wie aktiviere ich HSTS?

Der HSTS Header lässt sich im Control Panel aktivieren. Öffnen Sie Ihren Server und wechseln Sie links zu "Webseiten". Bei der Webseite, bei der Sie den HSTS Header aktivieren wollen, klicken Sie auf "Bearbeiten" und scrollen nach unten zu "SSL Verschlüsselung". Beachten Sie, dass diese Option nur ersichtlich ist, wenn die Webseite mit Nginx betrieben wird. Hier können Sie HSTS aktivieren und konfigurieren.

HSTS DE

Wenn ein Browser diesen Header einer HTTPS-Website sieht, weiss er, dass auf diese Domain nur über HTTPS (SSL oder TLS) zugegriffen werden darf. Unverschlüsselte Zugriffe wird er danach verweigern. Der Browser speichert diese Informationen für die im max-age angegebene Zeit. Es ist daher wichtig, dass Sie sicherstellen, dass Ihre Webseite und gegebenenfalls auch Subdomains, vollständig per HTTPS erreichbar sind und alle Inhalte ausschliesslich per HTTPS referenziert sind, bevor Sie HSTS aktivieren.

Es ist eine gute Praxis HSTS zuerst nur mit sehr kurzen Zeitspannen zu aktivieren und diese nach und nach zu verlängern. Starten Sie zum Beispiel mit 5 Minuten (300 Sekunden) und testen Sie Ihre Webseite ausgiebig. Erhöhen Sie den Wert für max-age danach Schritt für Schritt auf eine Stunde (3600), einen Tag (86400), eine Woche (604800), so wie sie sich sicher fühlen. Es wird empfohlen, den Wert für max-age auf mehr als 120 Tage (10368000), idealerweise auf ein Jahr (31536000) festzulegen.
Webseiten sollten darauf abzielen das maximale max-age zu verwenden, um eine erhöhte Sicherheit für die aktuelle Domain auf lange Sicht zu gewährleisten.

Wenn dieser Wert auf 0 Sekunden gesetzt wird, werden die entsprechenden HSTS Informationen gelöscht. Warten Sie dafür aber mindestens den zuvor eingetragenen Wert ab. Wenn Sie z.B. 10368000 Sekunden (120 Tage) gesetzt hatten, müssen sie mindestens 120 Tage abwarten bis die vorherige HSTS Informatione sicher aus allen Browsern gelöscht ist.

IncludeSubdomains

Durch das Aktivieren des includeSubdomains-Arguments gelten die HSTS Einstellungen auf für alle Subdomains. Wenn Sie diese Option entfernen, wird HTTPS nur für die Domain vorgeschrieben.

Preload

Als "HSTS Preload" bezeichnet man das Vorgehen, den Browsern bereits beim Hersteller eine vordefinierte Liste mit HSTS Informationen für verschiedene Webseiten mit zu geben. Damit weiss dieser bereits vor dem ersten Besuch einer entsprechend geschützten Seite, dass er diese nur über eine Verschlüsselte Verbindung kontaktieren soll. Durch das Aktivieren des preload-Arguments kann ein Anbieter von HSTS-Preload-Listen prüfen, ob Ihre Domain auf die Preload-Liste gesetzt werden kann und Sie als Besitzer dieser Domain damit einverstanden sind.

Ihre Einstellungen lassen sich über folgende Webseite prüfen: https://hstspreload.org
Diese Liste wird vom Chromium Project erstellt und wird von Chrome, Firefox und Safari genutzt. Diese Seiten sind nicht abhängig davon, ob HSTS Response Headers erstellt wurden, um die Richtlinie durchzusetzen. Stattdessen weiss der Browser schon, dass der Domainname alleinig HTTPS benötigt und führt HSTS durch, bevor irgendeine Verbindung oder Kommunikation zustande kommt.

Nutzen Sie dieses Formular für Feedback zur obigen Anleitung.
Für Supportanfragen verwenden Sie bitte dieses Formular.

 

 

© 2001 - Hostpoint AG
Cookie

Wir verwenden Cookies  🍪

We use Cookies  🍪

Nous utilisons des cookies  🍪

Utilizziamo dei cookie  🍪

Die digitalen Auftritte von Hostpoint (Website, Control Panel, Support Center etc.) verwenden Cookies. Diese werden dazu verwendet, um Daten über Besucherinteraktionen zu sammeln. Wenn Sie auf «Akzeptieren» klicken, stimmen Sie der Verwendung dieser Cookies für Werbezwecke, Website-Analyse und Support zu. Gewisse essenzielle Cookies sind jedoch für eine ordnungsgemässe Funktion dieser Seiten unerlässlich und können deshalb nicht deaktiviert werden. Auch ohne Ihre Zustimmung können gewisse Daten in anonymisierter Form für statistische Zwecke und zur Verbesserung unserer Websites verwendet werden. Bitte beachten Sie unsere Datenschutzerklärung.

Hostpoint's digital presences (website, Control Panel, Support Center, etc.) use cookies. These are used to collect data on visitor interactions. If you click “Accept”, you agree to the use of these cookies for advertising purposes, website analysis and support. However, certain cookies are essential for the proper functioning of these pages and therefore cannot be disabled. Even without your consent, certain data may be used in anonymized form for statistical purposes and to improve our websites. Please note our Privacy policy.

Le sites Web de Hostpoint (site Web, Control Panel, Centre d'assistance, etc.) utilisent des cookies. Ces cookies servent à collecter des données sur les interactions des visiteurs. En cliquant sur «Accepter», vous consentez à l’utilisation de ces cookies à des fins de publicité, d’analyse du site Web et d’assistance. Certains cookies essentiels sont cependant indispensables au bon fonctionnement de notre sites Web et ne peuvent donc pas être désactivés. Même sans votre consentement, certaines données peuvent être utilisées sous forme anonymisée à des fins statistiques et pour améliorer notre sites Web. Veuillez prendre connaissance de notre Déclaration de protection des données.

Le presenze digitali di Hostpoint (sito web, Pannello di controllo, Support Center, ecc.) utilizzano i cookie. Questi vengono utilizzati per raccogliere dati sulle interazioni dei visitatori. Facendo clic su «Accetta», acconsente all’utilizzo di questi cookie per scopi pubblicitari, di analisi del sito web e di supporto. Alcuni cookie essenziali sono tuttavia indispensabili per il corretto funzionamento di questi siti web e pertanto non possono essere disattivati. Anche senza il Suo consenso, determinati dati potrebbero essere utilizzati in forma anonima per fini statistici e per l’ottimizzazione dei nostri siti web. Si prega di tenere conto della nostra Dichiarazione per la pivacy.

Ablehnen
Decline
Refuser
Rifiuta
Akzeptieren
Accept
Accepter
Accetta