HTTP Strict Transport Security (HSTS)

Auch bekannt als: Strict-Transport-Security, HSTS-Header

Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen.

HSTS, definiert in RFC 6797, wird über den Antwortheader Strict-Transport-Security signalisiert. Sobald ein konformer Browser diesen Header erhält, merkt er sich die Richtlinie und stuft sämtliche künftigen Anfragen an diesen Host (und optional dessen Subdomains) automatisch auf HTTPS hoch; bei Fehlern im TLS-Handshake oder bei der Zertifikatsvalidierung verweigert er die Verbindung. Dies neutralisiert SSL-Stripping- und Cookie-Injection-Angriffe auf initiale Anfragen. Bewährt sind ein langes max-age, die Direktive includeSubDomains, die Direktive preload und die Aufnahme der Domain in die HSTS-Preload-Liste, damit auch der allererste Besuch geschützt ist.

Beispiele

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Eine Bank trägt ihre Hauptdomain in die HSTS-Preload-Liste von Chromium ein.

HTTP Strict Transport Security (HSTS)

Beispiele

Verwandte Begriffe

HTTPS

TLS (Transport Layer Security)

SSL Stripping

Secure Cookie Flag

HTTP Security Headers

Zertifizierungsstelle (CA)

Definition

Beispiele

Verwandte Begriffe

HTTPS

TLS (Transport Layer Security)

SSL Stripping

Secure Cookie Flag

HTTP Security Headers

Zertifizierungsstelle (CA)