HTTP Strict Transport Security (HSTS)

Wenn Sie eine Website betreiben und dafür ein SSL-Zertifikat eingerichtet haben, ist das ein wichtiger Schritt in Richtung Sicherheit. Doch das allein reicht nicht aus. Selbst mit aktiviertem HTTPS ist es in manchen Fällen noch möglich, die Seite über das alte HTTP-Protokoll aufzurufen – und genau hier kommt HSTS ins Spiel.

SSL und HTTPS: eine kurze Erinnerung

Ein SSL-Zertifikat sorgt dafür, dass die Verbindung zwischen Browser und Server verschlüsselt ist. Damit wird verhindert, dass sensible Daten wie Passwörter oder Nutzereingaben ungesichert übertragen werden. Diese Art der Verschlüsselung schützt vor Angriffen, bei denen Dritte versuchen, Daten während der Übertragung abzufangen – etwa in öffentlichen WLANs oder fremden Netzwerken.

Das Problem: Umleitungen allein sind nicht genug

Viele Websites leiten HTTP-Verbindungen automatisch auf HTTPS um. Das geschieht meist mit einem sogenannten 301-Redirect. Doch bevor diese Weiterleitung greift, ist der erste Kontakt mit der Website unverschlüsselt – und damit theoretisch angreifbar. Diese Sicherheitslücke lässt sich mit HSTS wirksam schließen.

Was macht HSTS genau?

HSTS steht für HTTP Strict Transport Security. Es handelt sich um eine Sicherheitsfunktion, die dem Browser mitteilt, dass eine bestimmte Website nur noch über eine verschlüsselte HTTPS-Verbindung aufgerufen werden darf.

So funktioniert es:

1. Der Browser stellt eine Verbindung zur Website über HTTPS her.

2. Der Server antwortet und sendet dabei ein spezielles HSTS-Signal mit.

3. Dieses Signal sagt dem Browser: „Bitte rufe diese Seite künftig nur noch über HTTPS auf.“

4. Der Browser speichert diese Information für einen festgelegten Zeitraum.

5. Jeder zukünftige Besuch der Seite erfolgt automatisch verschlüsselt – selbst wenn der Nutzer versehentlich http:// eingibt.

Was ist mit HSTS Preload?

Einige Browser nutzen sogenannte HSTS Preload-Listen. Diese enthalten Domains, die von vornherein ausschließlich über HTTPS aufgerufen werden dürfen – noch bevor der erste Seitenaufruf erfolgt. Wer seine Domain auf eine solche Liste setzen lässt, sorgt für maximale Sicherheit von Anfang an.

Wann sollte HSTS eingesetzt werden?

HSTS ist besonders sinnvoll für:

• Websites mit Login-Bereichen oder sensiblen Daten

• E-Commerce-Seiten oder Kundenportale

• Unternehmen und Organisationen mit hohen Datenschutzanforderungen

Kurz gesagt: für jede Website, bei der Sicherheit eine Rolle spielt.

Wie wird HSTS aktiviert?

HSTS wird serverseitig aktiviert, indem ein spezieller Header gesetzt wird. Je nach Serverumgebung geschieht das über die Konfiguration des Webservers oder über eine .htaccess-Datei.

Voraussetzungen:

• Die Website muss komplett über HTTPS erreichbar sein

• Alle Inhalte (Bilder, Skripte, Stylesheets) müssen ebenfalls über HTTPS geladen werden

• Optional: Eintrag in die HSTS Preload-Liste

Testen des HSTS Headers

Sie können die Aktivierung der HSTS Header bei entsprechenden Anbietern online testen:

https://www.ssllabs.com/

Oder aber Sie bevorzugen eher den rein technischen Weg:

$ curl -s -D- https://example.com/|grep -i Strict

Haben wir Ihr Interesse geweckt?

Sie können sich zu diesem Thema gern ans uns wenden.

Schreiben Sie uns: info(at)e-pixler.com oder rufen Sie uns an: 030 220 5630 0

Wir sind immer für Sie da!