Was ist HSTS und wie kann es aktiviert werden?

HSTS (HTTP Strict Transport Security) ist ein Web-Sicherheitsmechanismus, der hilft, Websites vor "Downgrade-Protokoll" und "Cookie-Diebstahl"-Angriffen zu schützen. Durch die Verwendung von HSTS informiert der Webserver die Webbrowser, dass auf den Seiten, auf denen dieser Mechanismus aktiviert ist, die Verbindung nur über HTTPS und niemals über HTTP erfolgen darf, wobei über HTTP gesendete Anfragen ignoriert werden.

Da die erste Verbindung eines Webclients zu einer Website noch nicht weiß, ob die Verbindung über HTTP oder HTTPS erfolgt, und auf Anweisungen vom Webserver wartet, besteht weiterhin die Möglichkeit einer Abhörung der Kommunikationen. Um auch dieses Risiko zu beseitigen, kann die Domain nach der Aktivierung von HSTS in die "Pre-Load" Liste aufgenommen werden. Dadurch wird der Domainname im Webbrowser so eingegeben, dass er nur über HTTPS funktioniert.

Hinweis: Nachdem die Website der "Pre-Loading"-Liste hinzugefügt wurde, wird sie nicht mehr über HTTP, sondern nur noch über HTTPS funktionieren.

Weitere Details zu den "Preloading"-Listen sowie zum Hinzufügen oder Entfernen einer Domain aus diesen Listen können Sie unter folgendem Link lesen: https://hstspreload.org/.

Beispiel für die Implementierung von HSTS in der .htaccess-Datei des Apache-Webservers:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"