Plattform für Internetsicherheit
Home » Security Headers » HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS)

HTTP headers: Strict Transport Security (HSTS)

Mit der HSTS Man-in-the-Middle-Angriffe abwenden:

Vermutlich hat unser Sicherheitsscan ermittelt, dass auf Ihrer Webseite der HTTP Strict Transport Security-Header fehlt. Wenn Sie diese Fehlermeldung erhalten, setzt Ihre Webseite kein HSTS ein. Das bedeutet, dass Ihre HTTPS-Weiterleitungen Ihre Besucher möglicherweise gefährden könnten.

Dieses Sicherheitsrisiko wird als mittelschwer eingestuft. Es ist jedoch weit verbreitet und bietet Angreifern eine einfache Angriffsfläche. Sollten Sie auf dieses Problem stoßen, ist es dringend ratsam, es zu beheben.

Durch das Hinzufügen des HSTS-Sicherheitsheaders zu Ihrem Server können Sie erzwingen, dass Ihre Webseite ausschließlich über das HTTPS-Protokoll geladen wird. Auf diese Weise schützen Sie Ihre Webseite vor Cookie-Hijacking und Protokollangriffen. Da Sie potenziell eine Umleitung während des Ladevorgangs entfernen, könnte Ihre Seite zudem schneller laden.

Empfohlene Anwendung von HSTS:

Um Ihre Besucher vor diesen Angriffen zu schützen, sollten Sie HTTP Strict Transport Security (HSTS) aktivieren. Dieses Protokoll zwingt den Browser dazu, direkte Anfragen zu ignorieren und deine Webseite über HTTPS zu laden.

Dieses Beispiel ist nützlich, wenn alle aktuellen und zukünftigen Subdomains HTTPS verwenden werden. Das folgende Beispiel ist eine sicherere Option:

PHP
header("Strict-Transport-Security: max-age=31536000; includeSubDomains");

HSTS begegnet den folgenden Bedrohungen:

1. Ein Benutzer setzt Lesezeichen oder gibt manuell http://example.com ein und ist einem Man-in-the-Middle-Angriff ausgesetzt.
HSTS leitet automatisch HTTP-Anfragen an die Ziel-Domain zu HTTPS um.

2. Eine Webanwendung, die ausschließlich HTTPS sein soll, enthält versehentlich HTTP-Links oder liefert Inhalte über HTTP aus.
HSTS leitet automatisch HTTP-Anfragen an die Ziel-Domain zu HTTPS um.

3. Ein Man-in-the-Middle-Angreifer versucht, den Datenverkehr eines Opferbenutzers mit einem ungültigen Zertifikat abzufangen und hofft, dass der Benutzer das schlechte Zertifikat akzeptiert.

Google 360 für Ihre Website. Mit Sicherheit.

360° Website SecurityWebsite-Check

Ein einfacher Prozess, der Ihnen hilft:

  • Die Datenschutzerklärung 100% abmahnsicher verfassen.
  • Sicherstellen, dass nur notwendige Cookies verwendet werden.
  • Überprüfen, ob notwendige Sicherheitsbestimmungen konform sind.
  • Für einen sorgenfreien Internet-Auftritt Ihres Unternehmens.
Geben Sie Ihre Website-URL und E-Mail ein. Sie erhalten den detaillierten Prüfbericht, in dem alle Fehler und die entsprechenden Korrekturen ausführlich beschrieben werden. Der Audit ist kostenlos, aber nicht umsonst!

Ihre Daten werden ausschließlich zur Kontaktaufnahme im Rahmen unserer Datenschutzerklärung verarbeitet.