Plattform für Internetsicherheit
Home » Security Headers » HTTPS Verbindung mit Strict Transport Security (HSTS) erfordern

HTTP Strict Transport Security

Warum standardmäßig für alle Verbindungen HTTPS verwenden?

HTTP Strict Transport Security (HSTS)

Implementierung von HSTS

Die Implementierung von HSTS ist relativ einfach und erfordert nur das Hinzufügen eines speziellen Headers zu den HTTP-Antworten Ihrer Website. Hier ist ein Beispiel für das Code-Snippet, das Sie in Ihre WordPress-Konfigurationsdatei functions.php einfügen können:

PHP

header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
Hier ist ein Beispiel für das Code-Snippet, das Sie in die Konfigurationsdatei Ihres Apache Webservers .htaccess einfügen können:
.htaccess

<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

HSTS garantiert, dass Ihre Website ausschließlich über HTTPS verbunden wird.

Vermutlich hat unser Sicherheitstest ermittelt, dass auf Ihrer Webseite der HTTP Strict Transport Security-Header nicht eingesetzt wird. Ein wesentlicher Bestandteil jeder Sicherheitsstrategie ist die Verwendung von HTTPS (Hypertext Transfer Protocol Secure), das sicherstellt, dass die Daten zwischen Ihrem Browser und der Website verschlüsselt übertragen werden.

Doch selbst wenn eine Website HTTPS aktiviert hat, besteht immer noch die Möglichkeit, dass Besucher unabsichtlich versuchen, über das unsichere HTTP-Protokoll zuzugreifen. Hier kommt HSTS (HTTP Strict Transport Security) ins Spiel.

Was ist HSTS?

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der sicherstellt, dass alle Verbindungen zu einer Website ausschließlich über HTTPS erfolgen. Dies geschieht durch das Setzen eines speziellen HTTP-Headers, der den Browser anweist, die Verbindung nur über das sichere HTTPS-Protokoll herzustellen.

Das Problem, das HSTS löst

Obwohl HTTPS aktiviert ist, könnten Nutzer oder Browser aus verschiedenen Gründen versuchen, eine Verbindung über das unsichere HTTP herzustellen. Dies kann beispielsweise durch veraltete Lesezeichen, eingehende Links von anderen Webseiten oder manuelle Eingaben in der Adressleiste geschehen.

Der immer noch weit verbreitete HTTP-zu-HTTPS-Redirect löst dieses Problem nur bedingt, da der Redirect selbst anfällig für Man-in-the-Middle-Angriffe ist. Angreifer könnten diese Umleitung ausnutzen, um den Benutzer auf eine bösartige Website umzuleiten.

HSTS begegnet den folgenden Bedrohungen

  • Ein Benutzer setzt Lesezeichen oder gibt manuell http://meine-webseite.de ein und ist einem Man-in-the-Middle-Angriff ausgesetzt. HSTS leitet automatisch alle HTTP-Anfragen zu HTTPS um.
  • Eine Webanwendung, die ausschließlich HTTPS sein soll, enthält versehentlich HTTP-Links oder liefert Inhalte über HTTP aus. HSTS erzwingt jede Verbindung zu Ihrer Domain ausschließlich über HTTPS.
  • Man-in-the-Middle-Angriffe klinken sich Cyberkriminellen in die Kommunikation fremder Rechnernetze ein, um den Datenverkehr mit einem ungültigen Zertifikat abzugreifen.

Wie hilft HSTS gegen SSL-Stripping?

HSTS (HTTP Strict Transport Security) schützt effektiv vor SSL-Stripping-Angriffen. Bei einem SSL-Stripping-Angriff versucht ein Angreifer, die HTTPS-Verbindung zu einer Webseite in eine unsichere HTTP-Verbindung umzuwandeln. Der Angreifer agiert als Man-in-the-Middle und leitet den Datenverkehr durch seine eigenen Server, bevor er ihn an das endgültige Ziel weiterleitet.

Ohne HSTS könnten Besucher zunächst eine ungesicherte HTTP-Verbindung herstellen, die dann vom Angreifer abgefangen und modifiziert wird. Mit HSTS hingegen wird der Browser angewiesen, die Website immer über HTTPS zu laden, selbst wenn der Benutzer auf einen HTTP-Link klickt oder eine HTTP-Adresse eingibt.

Dadurch wird das Risiko eines erfolgreichen SSL-Stripping-Angriffs erheblich reduziert, da der Browser jegliche Versuche, die Verbindung auf HTTP herabzusetzen, blockiert.

Weitere Vorteile von HSTS

  1. Erhöhte Sicherheit: HSTS eliminiert das Risiko von Man-in-the-Middle-Angriffen, da der Browser gezwungen wird, immer eine sichere HTTPS-Verbindung zu verwenden.
  2. Vertrauen der Benutzer: Nutzer fühlen sich sicherer, wenn sie wissen, dass ihre Verbindung zu Ihrer Website immer verschlüsselt ist.
  3. Suchmaschinen-Ranking: Suchmaschinen wie Google bevorzugen Websites, die HTTPS verwenden und belohnen diese mit einem besseren Ranking.
War dieser Artikel hilfreich?
1
0

Häufig gestellte Fragen zur HSTS:

a

Kann ich HSTS für meine gesamte Domain und Subdomains verwenden?

Ja, durch das Hinzufügen des includeSubDomains-Arguments im HSTS-Header wird die Richtlinie auf Ihre gesamte Domain und alle Subdomains angewendet.

Ja, durch das Hinzufügen des includeSubDomains-Arguments im HSTS-Header wird die Richtlinie auf Ihre gesamte Domain und alle Subdomains angewendet.

a

Beeinflusst HSTS die Leistung meiner Website?

HSTS hat keine direkten Auswirkungen auf die Leistung Ihrer Website. Verbindungen durch HTTPS können allerdings zu potenziellen Geschwindigkeitsverbesserungen einer Website beitragen.

Nein, HSTS hat keine direkten Auswirkungen auf die Leistung Ihrer Website. Es stellt sicher, dass Ihre Website ausschließlich über HTTPS geladen wird. Während das Hauptziel von HTTPS darin besteht, die Datenübertragung zu sichern, bringt es auch mehrere Leistungsverbesserungen mit sich, die Ihre Website schneller machen können.

Die Einführung von HTTP/2, reduzierte Latenzzeiten mit TLS 1.3, verbesserte Caching-Mechanismen, bessere Leistung durch CDNs und verbesserte Preloading- und Prefetching-Funktionen tragen alle zu potenziellen Geschwindigkeitsverbesserungen einer Website bei, die HTTPS verwendet.

a

Was bedeutet der preload-Parameter im HSTS-Header?

Der preload-Parameter ermöglicht es, Ihre Domain in die HSTS-Preload-Liste aufzunehmen, die von Browsern verwendet wird, um sicherzustellen, dass die Domain von Anfang an nur über HTTPS zugänglich ist.

Der preload-Parameter ermöglicht es, Ihre Domain in die HSTS-Preload-Liste aufzunehmen, die von Browsern verwendet wird, um sicherzustellen, dass die Domain von Anfang an nur über HTTPS zugänglich ist.

a

Wozu brauche ich HSTS? Meine Homepage lädt sicher über HTTPS.

Durch HSTS wird sichergestellt, dass Ihre Website ausschließlich über HTTPS erreichbar ist, um Man-in-the-Middle-Angriffe zu verhindern.

Auch wenn Ihre Website ohne HSTS einwandfrei über HTTPS geladen wird, schützt dieser Sicherheits-Header davor, dass Angreifer unsichere Verbindungen durchführen können.

Warum sollten Sie hier ein unnötiges Risiko eingehen? Durch HSTS wird sichergestellt, dass Ihre Website ausschließlich über HTTPS erreichbar ist, um Man-in-the-Middle-Angriffe zu verhindern. Die Implementierung von HSTS ist relativ einfach und erfordert nur das Hinzufügen eines speziellen Headers zu den HTTP-Antworten Ihrer Website.

GetSafe 360° Box

360° Website OptimierungWebsite-TuneUp

HTTP-Sicherheits-Header
Inhaltsicherheitsrichtlinie (CSP)
XSS-Absicherung
Ausführung i.d.R. innerhalb von 24 Std.
100% Geld-zurück-Garantie
Keine monatlichen Kosten

Wir schützen, was Ihnen wichtig ist.

Schlüsselfertige Ausführung:

Unsere Experten erledigen die Optimierung komplett für Sie.
Jetzt zum Vorzugspreis von nur 195,- €

Jetzt Starten »