Was ist HSTS?

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen. Optional lässt sich dieses über den Parameter includeSubDomains auf alle Subdomains ausweiten, also nicht nur auf https://example.org sondern auch auf https://subdomain.example.org.

Der Server versendet bei HTTPS-Verbindungen einen zusätzlichen Header mit der Information, dass die angeforderte Seite in der Zukunft nur über eine verschlüsselte Verbindung verfügbar ist. Dieser Header muss dann vom Browser des Anwenders entsprechend interpretiert werden. Der Header ist Strict-Transport-Security. Außerdem wird angegeben, wie lange die Seite in Zukunft verschlüsselt erreichbar sein wird.

Quelle: wikipedia.org

Risiko:

Verliert ein SSL-Zertifikat innerhalb der definierten Zeitspanne seine Gültigkeit, weil z.B. das Zertifikat nicht verlängert wurde oder ein Fehler aufgetreten ist, kann die Seite nicht mehr aufgerufen werden.

Was bring mir HSTS?

Mehr Sicherheit. Stellen Sie sich vor, Sie befinden sich in einem Hotel und erhalten typischerweise einen Netzwerkschlüssel zur Verbindung mit dem hoteleigenen WLAN. Jeder andere Gast hat genau den gleichen Schlüssel und kann nun Ihre Seitenaufrufe abfangen (mitlesen oder manipulieren), weil er sich im gleichen Netz befindet. Mit HSTS wird komplett zwischen Ihrem Browser und der Zielseite verschlüsselt, so dass ein Lauscher sich nicht dazwischen hängen kann. Daher ist HSTS nicht nur sinnvoll sondern auch wichtig zu Ihrem eigenen Schutz. Beeinflussen können Sie dies natürlich nur für Ihre eigene Seite. Wenn Sie eine andere Seite aufrufen (z. B. Ihre Bankseite), welche kein HSTS unterstützt, laufen Sie Gefahr, dass jemand Ihre Buchungen manipuliert. Natürlich gilt dieses nicht nur für Hotels, sondern ist noch kritischer in allen freien WLANs zu betrachten, zum Beispiel an Bahnhöfen oder Cafè’s. Achten Sie daher darauf, welche Seiten Sie wie aufrufen. „Nur“ ein SSL-Zertifikat zu haben reicht also nicht aus. Zusätzlich sollte jede Seite für HSTS eingerichtet sein.

Was sind die Voraussetzungen?

  • Es muss ein gültiges SSL-Zertifikat existieren (auch für ALLE Subdomains)
  • Die Anwendungen müssen auf https eingestellt sein
  • Über entsprechende Regeln muss von http auf http automatisch weitergeleitet werden
  • Die Domain muss in die zentrale Browserliste (http://hstspreload.org/) eingetragen werden

Fazit:

Die Aktivierung von HSTS für die eigene Seite ist somit sinnvoll, empfehlenswert und wichtig, sollte aber nicht unbedacht und überstürzt durchgeführt werden.

  • Prüfen Sie welche Subdomains (www., dev., blog., shop., …) Sie verwenden und stellen Sie sicher, dass alle Subdomains ein SSL-Zertifikat besitzen.
  • Stellen Sie sicher, dass es nicht noch alte Clients (z.B. Browser, Warenwirtschaftssysteme) gibt, die auf Ihre Seite zugreifen.
  • Kontaktieren Sie uns gerne bei Fragen oder wenn wir Sie unterstützen dürfen.

 

Weitere Infos zum aktuellen Thema Datenschutz finden Sie auch in unsrem Beitrag zu DSGVO.

RoundAboutWEB
AGB

Die Waren und Dienstleistungen von RoundAboutWEB stehen ausschließlich Unternehmern im Sinne von § 14 BGB zur Verfügung.
Ein Vertragsschluss mit Verbrauchern im Sinne von §13 BGB ist ausgeschlossen.