Deutsch Deutsch English English

HSTS

Was ist HSTS?

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus, der Websites dabei hilft, sichere HTTPS-Verbindungen zu erzwingen. HSTS verhindert, dass Browser unsichere HTTP-Verbindungen zu einer Website herstellen, selbst wenn der Benutzer explizit HTTP in der URL eingibt.

Funktionsweise von HSTS

HSTS funktioniert über einen speziellen HTTP-Header, der vom Server an den Browser gesendet wird. Dieser Header teilt dem Browser mit, dass alle zukünftigen Verbindungen zu dieser Domain ausschließlich über HTTPS erfolgen sollen.

HSTS-Header Beispiel:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

HSTS-Direktiven im Detail

max-age

Die max-age-Direktive definiert, wie lange der Browser die HSTS-Richtlinie speichern soll. Der Wert wird in Sekunden angegeben.

Empfohlene Werte:

  • Mindestens: 1 Jahr (31.536.000 Sekunden)
  • Optimal: 2 Jahre (63.072.000 Sekunden)
  • Maximum: 2 Jahre (Browser-Limit)

includeSubDomains

Diese Direktive erweitert die HSTS-Richtlinie auf alle Subdomains der aktuellen Domain.

Beispiel:

  • Domain: example.com
  • Mit includeSubDomains: Gilt für www.example.com, api.example.com, blog.example.com
  • Ohne includeSubDomains: Gilt nur für example.com

preload

Die preload-Direktive ermöglicht die Aufnahme in die HSTS Preload List von Browsern, wodurch die Sicherheit bereits beim ersten Besuch gewährleistet wird.

SEO-Vorteile von HSTS

1. Ranking-Signal für Sicherheit

Google betrachtet HTTPS als Ranking-Faktor. HSTS verstärkt dieses Signal zusätzlich, da es eine höhere Sicherheitsstufe demonstriert.

2. Verhindert Mixed Content

HSTS verhindert automatisch Mixed Content-Probleme, die zu SEO-Nachteilen führen können.

3. Verbesserte Core Web Vitals

Durch die erzwungene HTTPS-Nutzung werden potenzielle Performance-Probleme durch HTTP-Redirects eliminiert.

4. Vertrauenswürdigkeit

Besucher und Suchmaschinen vertrauen Websites mit HSTS mehr, was sich positiv auf die User Experience und damit auf SEO auswirkt.

HSTS-Implementation

1. Server-Konfiguration

Apache (.htaccess):

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

IIS (web.config):

2. HSTS Preload List

Schritte zur Aufnahme:

  1. Website muss vollständig HTTPS unterstützen
  2. HSTS-Header mit preload-Direktive implementieren
  3. Bei hstspreload.org registrieren
  4. Warten auf Browser-Updates (kann mehrere Monate dauern)

HSTS-Testing und Validierung

Browser-Tools

  • Chrome DevTools: Security Tab zeigt HSTS-Status
  • Firefox Developer Tools: Security Tab mit HSTS-Informationen
  • Online-Tools: SSL Labs SSL Test, HSTS Preload Checker

Test-Commands

# HSTS-Header prüfen
curl -I https://example.com | grep -i strict-transport

# HSTS Preload Status prüfen
curl -s https://hstspreload.org/api/v2/status?domain=example.com

Häufige HSTS-Probleme

1. Falsche Implementation

Problem: HSTS-Header auf HTTP-Seiten gesetzt

Lösung: HSTS nur auf HTTPS-Seiten implementieren

2. Zu kurze max-age

Problem: max-age=0 oder sehr kurze Werte

Lösung: Mindestens 1 Jahr (31.536.000 Sekunden)

3. Fehlende includeSubDomains

Problem: Subdomains nicht abgedeckt

Lösung: includeSubDomains-Direktive hinzufügen

4. Preload ohne Vorbereitung

Problem: Domain in Preload List ohne vollständige HTTPS-Abdeckung

Lösung: Erst vollständige HTTPS-Implementation, dann Preload

HSTS-Monitoring

1. Header-Überwachung

Regelmäßige Überprüfung, ob HSTS-Header korrekt gesendet werden.

2. Preload-Status

Monitoring des Preload-Status in verschiedenen Browsern.

3. Mixed Content Detection

Automatische Erkennung von Mixed Content-Problemen.

Best Practices für HSTS

1. Schrittweise Implementation

  1. Phase 1: HSTS ohne includeSubDomains und preload
  2. Phase 2: includeSubDomains hinzufügen
  3. Phase 3: preload-Direktive hinzufügen
  4. Phase 4: Bei Preload List registrieren

2. Backup-Strategien

  • HSTS-Removal-Plan: Vorbereitung für Notfälle
  • Certificate-Management: Automatische Zertifikatserneuerung
  • Monitoring: Kontinuierliche Überwachung der HTTPS-Verfügbarkeit

3. Dokumentation

  • HSTS-Policy: Interne Dokumentation der HSTS-Konfiguration
  • Rollback-Plan: Verfahren für HSTS-Deaktivierung
  • Team-Schulung: Wissenstransfer an alle Beteiligten

HSTS vs. andere Sicherheitsmaßnahmen

Sicherheitsmaßnahme
Schutz vor
SEO-Vorteil
Implementierung
HSTS
Protocol Downgrade, Man-in-the-Middle
Hoch
Einfach
HTTPS Redirect
HTTP-Zugriffe
Mittel
Einfach
Mixed Content Prevention
Insecure Resources
Mittel
Mittel
Security Headers
Verschiedene Angriffe
Niedrig
Komplex

HSTS und verschiedene Website-Typen

E-Commerce Websites

Besondere Anforderungen:

  • Höchste Sicherheitsstandards erforderlich
  • PCI-DSS-Compliance beachten
  • Payment-Provider-Integration prüfen

Corporate Websites

Empfehlungen:

  • HSTS für alle Subdomains
  • Preload List Eintragung
  • Umfassende Dokumentation

Blog/Content Websites

Minimale Anforderungen:

  • Basis-HSTS-Implementation
  • Regelmäßige Überwachung
  • Einfache Rollback-Strategie

Zukunft von HSTS

HTTP/3 Integration

HSTS wird auch in HTTP/3-Umgebungen relevant bleiben und sich weiterentwickeln.

Browser-Evolution

Neue Browser-Features werden HSTS-Funktionalitäten erweitern und verbessern.

Automatisierung

Zunehmende Automatisierung der HSTS-Implementation und -Überwachung.

Verwandte Themen

Letztes Update: