Keine-Verschluesselung-Gefunden/DE

Aus Siwecos
Version vom 3. April 2019, 15:03 Uhr von Siwebot (Diskussion | Beiträge)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche

Überprüfung des HSTS Schutzes

Bei positivem Ergebnis besteht kein weiterer Handlungsbedarf, bei negativen Ergebnis lesen Sie bitte die folgenden Hinweise.

Ergebnis positiv Ihre Webseite ist ausschließlich über das sichere HTTPS-Protokoll erreichbar. Kommunikation zwischen Ihrer Webseite und den Besuchern kann nicht abgehört und manipuliert werden.
Ergebnis negativ HSTS Schutz Fehler
Beschreibung Strict-Transport-Security (HSTS) stellt sicher, dass die Webseite für eine bestimmte Zeit lediglich über HTTPS gesicherte Verbindung aufgerufen werden kann. Der Webseitenbetreiber kann diesbezüglich u. a. definieren, wie lange der Zeitinterval ist und ob diese Regelung auch für Subdomains gelten soll.
Hintergrund Der HSTS Schutz ist inaktiv, die Kommunikation zwischen Ihrer Webseite und den Besuchern kann abgehört und manipuliert werden.
Auswirkung Aktuell ist Ihre Website nicht gegen Nutzung eines älteren TLS-Standards (Protokoll-Downgrade-Angriffe) und Cookie-Hijacking geschützt. Dies ermöglicht Angreifern die Kommunikation Ihrer Benutzer abzuhören und diese zu manipulieren. Mit Hilfe dieser Informationen könnte ein Angreifer weitere Attacken starten oder Ihren Nutzern ungewünschte Werbung und Schadcode zusenden. Die HTTP-Strict-Transport-Sicherheit ist eine hervorragende Funktion zur Unterstützung Ihrer Seite und stärkt Ihre Implementierung von TLS, indem der Benutzeragent die Verwendung von HTTPS erzwingt.
Lösung/Tipps Wenn die Verbindung zu Ihrer Seite ist nicht verschlüsselt ist, kann sämtliche Kommunikation zwischen Ihrer Seite und den Benutzern abgehört und manipuliert werden.

max-age=63072000; includeSubdomains; HTTP Strict Transport Security (HSTS) ist ein einfach zu integrierender Web-Security-Policy-Mechanismus.

# HTTP Strict Transport Security (HSTS) aktivieren
# Pflichtangabe: "max-age"
# Optional: "includeSubDomains"
Header set Strict-Transport-Security "max-age=31556926; includeSubDomains"

Hier finden Sie ein Beispiel, wie eine .htaccess-Datei aussehen kann, um einen höheren Wert beim Header Scanner zu erzielen. (.htaccess-Beispiel)