Keine-Verschluesselung-Gefunden/DE

Aus Siwecos
Wechseln zu: Navigation, Suche

Überprüfung des HSTS Schutzes

Check HSTS Schutz Fehler
Beschreibung Strict-Transport-Security (HSTS) stellt sicher, dass die Webseite für eine bestimmte Zeit lediglich über HTTPS gesicherte Verbindung aufgerufen werden kann. Der Webseitenbetreiber kann diesbezüglich u.a. definieren, wie lange das Zeitinterval ist und ob diese Regelung auch für Subdomains gelten soll.
Hintergrund Der HSTS Schutz ist inaktiv, die Kommunikation zwischen Ihrer Webseite und den Besuchern kann abgehört und manipuliert werden.
Auswirkung Aktuell ist Ihre Website nicht gegen Nutzung eines älteren TLS-Standards (Protokoll-Downgrade-Angriffe) und Cookie-Hijacking geschützt. Dies ermöglicht Angreifern die Kommunikation Ihrer Benutzer abzuhören und diese zu manipulieren. Mit Hilfe dieser Informationen könnte ein Angreifer weitere Attacken starten oder Ihren Nutzern ungewünschte Werbung und Schadcode zusenden. Die HTTP-Strict-Transport-Sicherheit ist eine hervorragende Funktion zur Unterstützung Ihrer Seite und stärkt Ihre Implementierung von TLS, indem der Benutzeragent die Verwendung von HTTPS erzwingt.
Lösung / Tipps max-age=63072000; includeSubdomains;

HTTP Strict Transport Security (HSTS) ist ein einfach zu integrierender Web-Security-Policy-Mechanismus.

--snip
# HTTP Strict Transport Security (HSTS) aktivieren
# Pflichtangabe: „max-age“
# Optional: „includeSubDomains“
  Header set Strict-Transport-Security „max-age=31556926, includeSubDomains“

--snap

Hier finden Sie ein Beispiel, wie eine .htaccess -Datei aussehen kann, um den HTTP-Security-Header-Scanner Grün zu stimmen. (.htaccess-Beispiel)