HSTS (HTTP Strict Transport Security)

HSTS ist ein HTTP-Response-Header, der den Browser anweist, eine Website ausschließlich über verschlüsseltes HTTPS aufzurufen. Einmal gesetzt, ignoriert der Browser für den angegebenen Zeitraum (max-age) alle HTTP-Verbindungsversuche und leitet sie automatisch auf HTTPS um — noch bevor eine Verbindung zum Server hergestellt wird.

Ohne HSTS ist der erste Seitenaufruf über HTTP verwundbar: Ein Angreifer im Netzwerk kann die Verbindung abfangen und den Besucher auf eine unverschlüsselte Seite umleiten (SSL-Stripping). HSTS schließt dieses Fenster nach dem ersten erfolgreichen HTTPS-Besuch.

So funktioniert HSTS

Der Server sendet den Header Strict-Transport-Security: max-age=31536000; includeSubDomains. Der Browser merkt sich diese Anweisung für die angegebene Dauer (hier: ein Jahr) und ruft die Domain fortan nur noch über HTTPS auf. Der Parameter includeSubDomains wendet diese Regel auf alle Subdomains an.

HSTS Preload

Die HSTS Preload List ist eine von Google gepflegte Liste, die in alle großen Browser eingebaut ist. Domains auf dieser Liste werden immer über HTTPS aufgerufen — auch beim allerersten Besuch. Die Aufnahme erfordert: max-age ≥ 31536000, includeSubDomains und den preload-Parameter.

Was prüft exatics?

Unser Audit prüft, ob der HSTS-Header gesetzt ist, ob die max-age ausreichend lang ist und ob includeSubDomains aktiviert ist. Ein fehlender oder zu kurzer HSTS-Header senkt den Sicherheits-Score.

Jetzt Ihre Website prüfen

Verwandte Begriffe

• HTTPS / SSL / TLS
• HTTP Security Headers
• Mixed Content

Weiterführende Ratgeber:

• HTTP Security Headers: Website-Sicherheit prüfen
• HTTPS einrichten: SSL-Zertifikat installieren