HTTP Strict Transport Security: Unterschied zwischen den Versionen
Petra (Diskussion | Beiträge) |
Petra (Diskussion | Beiträge) |
||
| Zeile 1: | Zeile 1: | ||
=== HTTP Strict Transport Security === | === HTTP Strict Transport Security === | ||
| − | '''HTTP Strict Transport Security''', kurz '''HSTS''' ist ein Sicherheitsmechanismus für [[HTTPS]]-Verbindungen. Dieses Sicherheits-Element soll vor [[ | + | '''HTTP Strict Transport Security''', kurz '''HSTS''' ist ein Sicherheitsmechanismus für [[HTTPS]]-Verbindungen. Dieses Sicherheits-Element soll vor [[Downgrading_Angriffe|Downgrading-Angriffen]] und vor [https://de.wikipedia.org/wiki/Session_Hijacking Session Hijacking] schützen. Mittels des ''HTTP response header Strict-Transport-Security'' kann der Server dem Browser des Anwenders mitteilen, für eine vorgegebene Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen. |
Mit der Funktion '''HTTP Strict Transport Security (HSTS)''' teilt eine Webseite Ihren Besuchern also mit, dass sie über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und der Browser diese Einstellung für längere Zeit zwischenspeichern soll. Das hat den Vorteil, dass die Seite auch bei Eingabe von nur [[HTTP]] in der Adresszeile des Browsers trotzdem über eine sichere (also verschlüsselte) Verbindung aufgerufen wird. | Mit der Funktion '''HTTP Strict Transport Security (HSTS)''' teilt eine Webseite Ihren Besuchern also mit, dass sie über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und der Browser diese Einstellung für längere Zeit zwischenspeichern soll. Das hat den Vorteil, dass die Seite auch bei Eingabe von nur [[HTTP]] in der Adresszeile des Browsers trotzdem über eine sichere (also verschlüsselte) Verbindung aufgerufen wird. | ||
Aktuelle Version vom 19. März 2019, 13:45 Uhr
Inhaltsverzeichnis
HTTP Strict Transport Security
HTTP Strict Transport Security, kurz HSTS ist ein Sicherheitsmechanismus für HTTPS-Verbindungen. Dieses Sicherheits-Element soll vor Downgrading-Angriffen und vor Session Hijacking schützen. Mittels des HTTP response header Strict-Transport-Security kann der Server dem Browser des Anwenders mitteilen, für eine vorgegebene Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen.
Mit der Funktion HTTP Strict Transport Security (HSTS) teilt eine Webseite Ihren Besuchern also mit, dass sie über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und der Browser diese Einstellung für längere Zeit zwischenspeichern soll. Das hat den Vorteil, dass die Seite auch bei Eingabe von nur HTTP in der Adresszeile des Browsers trotzdem über eine sichere (also verschlüsselte) Verbindung aufgerufen wird.
HTTP Strict Transport Security (HSTS) aktivieren
HSTS in der .htaccess aktivieren
Mit der folgenden Anweisung in der .htaccess-Datei wird der HSTS-Header an den Browser gesendet:
Header set Strict-Transport-Security "max-age=7200" env=HTTPS
Der Wert max-age entspricht der Dauer in Sekunden, die der Browser die HSTS-Regel zwischenspeichern soll. Mit env=HTTPS wird sichergestellt, dass der HSTS-Header nur gesendet wird, wenn die aufgerufene Seite per HTTPS ausgeliefert wird.
Eintrag in die Preload-List
Google Chrome führt eine Liste mit Domains, für die HSTS aktiviert ist. Die Liste wird auch von anderen Browsern genutzt Der Eintrag in diese Preload-Liste ist kostenlos unter folgender Adresse möglich: https://hstspreload.org/
Voraussetzung für die Aufnahme in die Preload-Liste sind folgende Kriterien:
- Ein gültiges SSL-Zertifikat, dass nicht SHA–1-signiert sein darf.
- Der komplette HTTP-Verkehr muss auf HTTPS umgeleitet werden.
- Alle Subdomains müssen über HTTPS ausgeliefert werden.
- Die Basis-Domain muss ein HSTS-Header mit folgenden Werten ausgeliefern:
Der max-age-Wert muss mindesten 18 Wochen (10’886’400 Sekunden) betragen.
- Der includeSubdomains-Token muss gesetzt sein.
- Der preload-Token muss gesetzt sein.
- Bei Weiterleitung muss die Quelladresse den HSTS-Header besitzen.
Die an den HSTS-Header gestellten Anforderungen werden mit folgendem Befehl in der .htaccess-Datei erfüllt:
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS
Es gibt keine Garantie für den Eintrag in die Preloadliste. Eine Löschung ist praktisch nicht möglich, da die Liste auch von Drittherstellern genutzt wird. Sie sollten sich daher sicher sein, dass Ihre Website HTTPS über längere Zeit unterstützen wird.
HSTS im Apache aktivieren
- https://www.bjoerns-techblog.de/2017/07/hsts-im-apache-aktivieren/
- https://wiki.magenbrot.net/linux/webserver/apache/hsts-header_http_strict_transport_security_konfigurieren
Weiterführende Links
Wikipedia: HTTP Strict Transport Security
