HSTS sorgt dafür, dass eine Website im Browser ausschließlich über HTTPS geladen wird – und schützt so vor unsichtbaren Umleitungen auf unsichere Verbindungen.
Ausführliche Erklärung
HSTS steht für HTTP Strict Transport Security und ist ein Sicherheitsmechanismus, der über einen speziellen HTTP-Header aktiviert wird. Wenn eine Website diesen Header sendet, merkt sich der Browser:
„Diese Seite darf ich nur noch verschlüsselt aufrufen – nie wieder über unsicheres HTTP.“
Das schützt vor sogenannten Downgrade-Angriffen oder SSL-Stripping, bei denen Angreifer versuchen, eine sichere Verbindung in eine unverschlüsselte umzuleiten, um Daten abzugreifen.
Sobald HSTS aktiv ist, verhindert der Browser automatisch jeden Versuch, die Seite über eine unsichere Verbindung zu öffnen. Der Effekt:
- mehr Vertrauen
- bessere Sicherheitsbewertung (z. B. bei Google)
- und keine versehentlichen HTTP-Aufrufe mehr durch Nutzer:innen
Ein typischer HSTS-Header sieht so aus:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Was das im Detail heißt
max-age=31536000bedeutet: Für 1 Jahr soll HTTPS erzwungen werdenincludeSubDomainserweitert das auf alle Subdomainspreloadbereitet die Aufnahme in die sogenannte HSTS-Preload-Liste vor – eine Art „Sicherheits-Kartei“ für Browser
Wichtig: Dieser Header sollte nur gesetzt werden, wenn wirklich alle Seiten (auch Subdomains) HTTPS korrekt unterstützen. Sonst sperrt man sich schnell selbst aus – im wahrsten Sinne des Wortes.