HSTS — HTTP Strict Transport Security
HSTS ist ein Sicherheitsheader, der dem Browser mitteilt, dass eine Website ausschließlich über HTTPS aufgerufen werden darf. Einmal gesetzt, lehnt der Browser für die angegebene Dauer alle unverschlüsselten HTTP-Verbindungen ab.
HSTS schützt vor sogenannten Downgrade-Angriffen: Ohne HSTS könnte ein Angreifer die Verbindung auf unverschlüsseltes HTTP umleiten und den Datenverkehr mitlesen. Mit HSTS verhindert der Browser das automatisch.
Korrekte Einrichtung
- max-age — Mindestens 31.536.000 Sekunden (1 Jahr) empfohlen
- includeSubDomains — Gilt auch für alle Subdomains
- preload — Eintrag in die Browser-Preload-Liste für Schutz ab dem allerersten Aufruf
Was prüft exatics?
exatics prüft, ob der HSTS-Header gesetzt ist und ob die Konfiguration den Empfehlungen entspricht. Fehlender HSTS-Header wird als Sicherheitshinweis gemeldet.