Hetzner - DokuWiki

HSTS
Zeile 1: Zeile 1:
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen. HSTS kann gegen Man-in-the-Middle-Attacken schützen. Hierzu kann ein Server mit  dem HTTP response header Strict-Transport-Security dem Browser mitteilen, in Zukunft für eine bestimmte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen. Unterstützt der Browser dieses Feature nicht, so kommen dem Nutzer die Vorteile von HSTS zwar nicht zugute, doch ist die grundsätzliche Erreichbarkeit der Seiten dadurch nicht eingeschränkt.
+
HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schätzen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen.
  
 
Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:
 
Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:

Version vom 16. August 2019, 12:21 Uhr

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schätzen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen.

Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:

Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"


HSTS wird in der Regel immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS verwendet. Erstellen Sie dazu eine.htaccess-Datei mit folgendem Inhalt:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"


© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.