Was ist HTTP Strict Transport Security (HSTS)?

Erfahren Sie mehr über HTTP Strict Transport Security (HSTS), einen wichtigen Web-Sicherheitsmechanismus, der HTTPS-Verbindungen erzwingt. Entdecken Sie die Vorteile, Implementierungsschritte und Best Practices zum Schutz Ihrer Website vor gängigen Angriffen.

Verwandte Inhalte

Willst du weiter lernen?

Abonnieren Sie den Newsletter von SSL.com, bleiben Sie informiert und sicher.

HTTP Strict Transport Security (HSTS) ist ein Mechanismus für Websicherheitsrichtlinien, der Websites vor Protokoll-Downgrade-Angriffen und Cookie-Hijacking schützt. Damit können Webserver festlegen, dass Webbrowser (oder andere konforme Benutzeragenten) nur über sichere HTTPS-Verbindungen und niemals über das unsichere HTTP-Protokoll mit ihnen interagieren dürfen.

Kurzanleitung: HSTS implementieren

  1. Stellen Sie sicher, dass Ihre Website vollständig über HTTPS zugänglich ist.

  2. Fügen Sie den Header „Strict-Transport-Security“ zu den Antworten Ihres Webservers hinzu:

    Strikte Transportsicherheit: maximales Alter = 300; includeSubDomains; Vorspannung
  3. Testen Sie Ihre HSTS-Implementierung mit Online-Tools und Browser-Entwicklertools.

  4. Erhöhen Sie den Max-Age-Wert, nachdem Sie die korrekte Implementierung bestätigt haben.

  5. Erwägen Sie die Übermittlung Ihrer Domain an die HSTS-Preload-Liste, um maximale Sicherheit zu gewährleisten.

Lassen Sie uns nun die Details von HSTS, seine Vorteile und Überlegungen zur Implementierung untersuchen.

HSTS im Detail verstehen

Welches Problem löst HSTS?

HSTS wurde entwickelt, um mehrere Sicherheitslücken zu schließen, die entstehen, wenn Websites ausschließlich auf HTTPS ohne zusätzlichen Schutz vertrauen:

  • SSL-Stripping-Angriffe: Ein Angreifer könnte die ursprüngliche HTTP-Anfrage abfangen und den Benutzer auf eine ungesicherte Version der Site umleiten.
  • Gemischter Inhalt: Einige Ressourcen auf einer Seite werden möglicherweise weiterhin über HTTP geladen, was Sicherheitslücken verursacht.
  • Benutzerverhalten: Benutzer geben möglicherweise „http://“ manuell ein oder lassen das Protokoll bei der Eingabe einer URL vollständig weg und setzen sich dadurch möglicherweise unsicheren Verbindungen aus.

HSTS mildert diese Probleme, indem es alle Verbindungen zur Verwendung von HTTPS zwingt, selbst wenn ein Benutzer versucht, über HTTP auf eine Site zuzugreifen.

Wie HSTS funktioniert

Wenn ein Webserver den HSTS-Header in seiner Antwort sendet, weist er den Browser an:

  • Konvertieren Sie alle unsicheren HTTP-Links automatisch in sichere HTTPS-Links.
  • Verhindern Sie, dass Benutzer Zertifikatswarnungen umgehen.
  • Merken Sie sich diese Anweisung für einen bestimmten Zeitraum (definiert durch die Max-Age-Richtlinie).

Hier ist eine Aufschlüsselung der HSTS-Headerkomponenten:

  • Höchstalter: Gibt an, wie lange (in Sekunden) der Browser daran denken soll, HTTPS zu erzwingen.
  • einschließenSubDomains: (Optional) Wendet die HSTS-Richtlinie auf alle Subdomänen der aktuellen Domäne an.
  • Vorspannung: (Optional) Gibt an, dass der Domäneninhaber damit einverstanden ist, dass seine Domäne in Browsern vorab geladen wird.

Vorteile der Implementierung von HSTS

  • Verbesserte Sicherheit : Schützt vor Man-in-the-Middle-Angriffen, SSL-Stripping und Cookie-Hijacking.
  • Verbesserte User Experience: Leitet HTTP-Anfragen automatisch auf HTTPS um und reduziert so die Latenz.
  • SEO Vorteile: Suchmaschinen bevorzugen sichere Websites, was möglicherweise zu einer Verbesserung des Suchrankings führt.
  • Compliance: Hilft bei der Einhaltung verschiedener gesetzlicher Anforderungen hinsichtlich Datenschutz und Privatsphäre.
Bereit, Ihre Website mit HTTPS zu sichern?
Beginnen Sie noch heute mit dem allgemeinen Zertifikat von SSL.com und machen Sie den ersten Schritt zur Implementierung von HSTS für mehr Sicherheit.

Implementieren von HSTS auf Ihrem Webserver

Schritt 1: Bereiten Sie Ihre Website für HTTPS vor

Stellen Sie vor der Implementierung von HSTS sicher, dass Ihre Website über HTTPS voll funktionsfähig ist:

  1. Besorgen Sie sich ein SSL/TLS Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle wie SSL.com.
  2. Installieren Sie das Zertifikat auf Ihrem Webserver.
  3. Konfigurieren Sie Ihren Webserver für die Verwendung von HTTPS.
  4. Aktualisieren Sie alle internen Links, um HTTPS zu verwenden.
  5. Stellen Sie sicher, dass alle externen Ressourcen (Skripte, Bilder usw.) über HTTPS geladen werden.

Schritt 2: HSTS-Header hinzufügen

Fügen Sie zunächst den HSTS-Header mit einem kurzen max-age-Wert hinzu, um Ihre Konfiguration zu testen. Verwenden Sie beispielsweise max-age=300 (5 Minuten):

Apache

Fügen Sie Ihrer .htaccess-Datei oder Serverkonfiguration Folgendes hinzu:

Kopfzeile immer Strict-Transport-Security einstellen „max-age=300; includeSubDomains; Vorladen“

Nginx

Fügen Sie dies zu Ihrem Serverblock in der Nginx-Konfiguration hinzu:

add_header Strenge-Transport-Sicherheit „max-age=300; includeSubDomains; Vorladen“ immer;

IIS

Für IIS können Sie den Header über die Datei web.config hinzufügen:

<system.webServer>
  <httpProtokoll>
    <benutzerdefinierteHeader>
      <hinzufügen Name="Strenge Transportsicherheit" Wert=„max-age=300; includeSubDomains; Vorladen“/>
    </benutzerdefinierteHeader>
  </httpProtokoll>
</system.webServer>

Schritt 3: Testen Sie Ihre HSTS-Implementierung

Nachdem Sie den Header hinzugefügt haben, ist es wichtig, Ihre Implementierung zu testen:

  1. Verwenden Sie Online-Tools: Tools wie SSL Labs oder Security Headers können überprüfen, ob der HSTS-Header vorhanden und richtig konfiguriert ist.

  2. Browser-Entwicklertools:

    • Öffnen Sie Ihre Website in einem Browser (z. B. Chrome oder Firefox).

    • Drücken Sie F12, um die Entwicklertools zu öffnen.

    • Navigieren Sie zur Registerkarte „Netzwerk“.

    • Aktualisieren Sie die Seite und wählen Sie die ursprüngliche Anfrage aus (normalerweise Ihre Domäne).

    • Suchen Sie im Abschnitt „Header“ nach dem Header „Strict-Transport-Security“, um die Übermittlung zu bestätigen.

  3. Testen der HTTPS-Durchsetzung:

    • Versuchen Sie, über http:// auf Ihre Website zuzugreifen, und stellen Sie sicher, dass eine Weiterleitung auf https:// erfolgt.

    • Überprüfen Sie, ob Subdomains ebenfalls gesichert sind, wenn Sie die Direktive „includeSubDomains“ eingefügt haben.

Schritt 4: Erhöhen Sie den max-age-Wert

Sobald Sie bestätigt haben, dass Ihre HSTS-Implementierung mit einem kurzen Max-Age ordnungsgemäß funktioniert, können Sie es auf eine längere Dauer erhöhen, z. B. ein Jahr (Max-Age=31536000):

Apache

Kopfzeile immer Strict-Transport-Security einstellen „max-age=31536000; includeSubDomains; Vorladen“

Nginx

add_header Strenge-Transport-Sicherheit „max-age=31536000; includeSubDomains; Vorladen“ immer;

IIS

<system.webServer>
  <httpProtokoll>
    <benutzerdefinierteHeader>
      <hinzufügen Name="Strenge Transportsicherheit" Wert=„max-age=31536000; includeSubDomains; Vorladen“/>
    </benutzerdefinierteHeader>
  </httpProtokoll>
</system.webServer>

Schritt 5: Erwägen Sie das Vorladen von HSTS

Das Vorladen von HSTS bietet eine zusätzliche Sicherheitsebene, indem Ihre Domain in eine Liste von HSTS-fähigen Websites aufgenommen wird, die in Browsern fest codiert ist. So laden Sie Ihre Website vor:

  1. Stellen Sie sicher, dass Ihr HSTS-Header Folgendes enthält: preload in der Richtlinie.
  2. Besuchen Sie die HSTS Preload List Submission-Website.
  3. Geben Sie Ihre Domäne ein und folgen Sie dem Übermittlungsprozess.

Hinweis: Das Vorladen ist ein wirksamer Schutz, kann aber schwer rückgängig gemacht werden. Stellen Sie vor dem Absenden sicher, dass Ihre Site für den langfristigen Nur-HTTPS-Zugriff bereit ist.

Best Practices und Überlegungen

  • Beginnen Sie mit einem kurzen Höchstalter: Beginnen Sie mit einem niedrigeren Wert (z. B. max-age=300) und erhöhen Sie ihn schrittweise, wenn Sie bestätigen, dass alles richtig funktioniert. Dies verhindert, dass Benutzer bei einer Fehlkonfiguration ausgesperrt werden.
  • Seien Sie vorsichtig mit includeSubDomains: Stellen Sie sicher, dass alle Subdomänen für HTTPS bereit sind, bevor Sie diese Option verwenden.
  • Planen Sie langfristig: Sobald HSTS implementiert ist, kann die Umstellung zurück auf HTTP eine Herausforderung sein. Stellen Sie sicher, dass Ihre Organisation HTTPS beibehalten möchte.
  • Regelmäßige Überwachung: Überwachen Sie Ihre HTTPS-Konfiguration kontinuierlich, um sicherzustellen, dass die Zertifikate gültig und richtig konfiguriert bleiben.
  • Benutzererziehung: Obwohl HSTS vieles automatisch erledigt, klären Sie Ihre Benutzer über die Bedeutung von HTTPS auf und weisen Sie sie darauf hin, dass sie auf Sicherheitswarnungen achten sollten.

Mögliche Herausforderungen und Lösungen

Probleme mit gemischten Inhalten

  • Herausforderung: Einige Ressourcen werden immer noch über HTTP geladen.
  • Die Lösung : Verwenden Sie Content Security Policy (CSP)-Header, um gemischte Inhalte zu erkennen und zu melden.

Ablauf des Zertifikats

  • Herausforderung: Aufgrund strenger HSTS-Richtlinien können abgelaufene Zertifikate Benutzer sperren.
  • Die Lösung : Implementieren Sie automatisierte Systeme zur Zertifikatserneuerung und -überwachung.

Komplikationen beim Reverse-Proxy

  • Herausforderung: HSTS-Header werden bei einigen Reverse-Proxy-Setups möglicherweise nicht richtig weitergegeben.
  • Die Lösung : Stellen Sie sicher, dass Ihr Reverse-Proxy so konfiguriert ist, dass HSTS-Header korrekt übergeben oder festgelegt werden.

Entwicklungs- und Testumgebungen

  • Herausforderung: HSTS kann den Zugriff auf Nicht-HTTPS-Entwicklungsumgebungen erschweren.
  • Die Lösung : Verwenden Sie für die Entwicklung/Staging separate Domänen, die nicht HSTS-fähig sind.

Schlussfolgerung

HTTP Strict Transport Security (HSTS) ist ein leistungsstarkes Tool. Durch das Erzwingen sicherer Verbindungen schützt HSTS Ihre Website und ihre Benutzer vor verschiedenen Angriffen. Die Implementierung erfordert zwar sorgfältige Planung und Ausführung, aber die Sicherheitsvorteile überwiegen bei weitem die anfänglichen Einrichtungskomplexitäten.

Denken Sie daran, dass Websicherheit ein fortlaufender Prozess ist. Überprüfen und aktualisieren Sie regelmäßig Ihre HSTS-Richtlinie, überwachen Sie Ihre HTTPS-Implementierung und bleiben Sie über neue Best Practices zur Websicherheit informiert, um die Sicherheit Ihrer Website und Benutzer zu gewährleisten.

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.