HTTP Strict Transport Security (HSTS)
Was ist HTTP Strict Transport Security (HSTS)?
HTTP Strict Transport Security (HSTS)Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen.
HSTS, definiert in RFC 6797, wird über den Antwortheader Strict-Transport-Security signalisiert. Sobald ein konformer Browser diesen Header erhält, merkt er sich die Richtlinie und stuft sämtliche künftigen Anfragen an diesen Host (und optional dessen Subdomains) automatisch auf HTTPS hoch; bei Fehlern im TLS-Handshake oder bei der Zertifikatsvalidierung verweigert er die Verbindung. Dies neutralisiert SSL-Stripping- und Cookie-Injection-Angriffe auf initiale Anfragen. Bewährt sind ein langes max-age, die Direktive includeSubDomains, die Direktive preload und die Aufnahme der Domain in die HSTS-Preload-Liste, damit auch der allererste Besuch geschützt ist.
● Beispiele
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
Eine Bank trägt ihre Hauptdomain in die HSTS-Preload-Liste von Chromium ein.
● Häufige Fragen
Was ist HTTP Strict Transport Security (HSTS)?
Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet HTTP Strict Transport Security (HSTS)?
Eine über einen HTTP-Antwortheader übermittelte Sicherheitsrichtlinie, die Browser anweist, eine Domain für einen festgelegten Zeitraum nur über HTTPS aufzurufen.
Wie schützt man sich gegen HTTP Strict Transport Security (HSTS)?
Schutzmaßnahmen gegen HTTP Strict Transport Security (HSTS) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für HTTP Strict Transport Security (HSTS)?
Übliche alternative Bezeichnungen: Strict-Transport-Security, HSTS-Header.