HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

Wofür ist HSTS  gut?

Das reine Einrichten eines SSL-Zertifikats für eine Domain reicht oft nicht aus; keinesfalls aber dann, wenn die Möglichkeit besteht, über das altgediente HTTP-Protokoll weiterhin auf Inhalte zuzugreifen.

SSL – kurzer Rückblick

Ein SSL-Zertifikat ist notwendig, um eine HTTPS-Verbindung mit einem Server herzustellen. Der Informationsaustausch erfolgt nach einem sogenannten Handshake zwischen Browser und Server ausschließlich verschlüsselt. Das muss sein, da bei einer unverschlüsselten Verbindung – z. B. bei Benutzereingaben – Username und Passwort im Netzverkehr mitgelesen werden könnten („man in the middle attack“). Diese Gefahr besteht fast immer, im Besonderen aber bei der Verwendung von fremden Netzwerkstrukturen wie z. B. dem Gäste-WLAN des Lieblingsrestaurants, einem öffentlichen Hotspot u. ä.

Ein reiner 301 Redirect von HTTP auf HTTPS reicht oft nicht aus, da noch immer die HTTP Requests abgefangen werden können.

Und wie funktioniert HSTS?

Es handelt sich hierbei um das Zusammenspiel zwischen Browser und Server, hier mal mit aktiver HTTP und HTTPS Einrichtung:

  • Der Browser sendet einen ersten Request an den Server (HTTP).
  • Der Server leitet diesen Request weiter auf HTTPS.
  • Der Server schickt bei seiner Antwort (über HTTPS) den sogenannten HSTS Flag mit an den Browser.
  • Dieser Flag sagt dem Browser, er soll in Zukunft für diese Domain ausschließlich das HTTPS- Protokoll verwenden.
  • Es ist nun nicht mehr möglich, die HTTP-Seite aufzurufen, da der Browser direkt auf HTTPS anfragt.
  • Mit diesem Flag wird auch eine „maxe-age“ in Sekunden mitgeschickt, die dem Browser mitteilt, wie lange diese Regel Gültigkeit hat.
  • Einige Browser verwenden sogar sogenannte „HSTS Preload Lists“. Darin sind viele wichtige Domains enthalten und der Verbindungsaufbau direkt und explizit auf HTTPS eingeschränkt.

Wie kann HSTS aktiviert werden?

Je nach verwendetem Server gilt es zuerst das entsprechende Header Modul (Apache) zu installieren. Die Aktivierung erfolgt dann in der Konfiguration des virtuellen Hosts oder innerhalb einer .htaccess Datei:

  • Konfiguration des Webservers
  • über virtual hosts Konfiguration
  • über eine .htaccess Datei

Vorbereitung zur Verwendung

Sicherstellen, dass auch alle Inhalte über HTTPS erreichbar sind.

Testen des HSTS Headers

Sie können die Aktivierung der HSTS Header bei entsprechenden Anbietern online testen:

https://www.ssllabs.com/

Oder aber Sie bevorzugen eher den rein technischen Weg:

$ curl -s -D- https://example.com/|grep -i Strict

Haben wir Ihr Interesse geweckt?

Sie können sich zu diesem Thema gern ans uns wenden.

Schreiben Sie uns: info(at)e-pixler.com oder rufen Sie uns an: 030 220 5630 0

Wir sind immer für Sie da!

« Zurück zu Aktuelles