Erhöhen Sie die Sicherheit Ihrer Webseite mit HSTS und optimieren sich gleichzeitig Ihr SEO-Ranking

HSTS steht für „HTTP Strict Transport Security“ und gehört zu der Sammlung an Sicherheitsmaßnahmen, um die Kommunikation zwischen Ihrem Browser und dem Webserver abzusichern. HSTS nutzt dabei verschiedene Header Direktiven, die beim Aufrufen einer Website die Kommunikation mit der Website bestimmen. HSTS richtig angewandt, zwingt es Verbindungen zu einer Website immer zu verschlüsseln. Dabei verhindert HSTS jedes Skript an der Ausführung, welches Ressourcen die über HTTP (ohne S) geladen werden sollen. HSTS ist also eine Erweiterung eines SSL Zertifikats und der damit verbundenen HTTPS-Verbindung zum Webserver.

Um vor s.g. “Man-in-the-Middle“ Angriffen zu schützen, reicht ein SSL Zertifikat nicht mehr aus. Bei Websites ohne HSTS Erweiterungen können Hacker in den HTTP Netzwerk-Traffic eingreifen und darüber die SSL Verschlüsselung deaktivieren ohne dass der Benutzer etwas davon merkt. Der Angreifer kann dann unbemerkt wertvolle Daten stehlen, alle übermittelten Daten mitlesen oder noch schlimmer, auf Phishing-Seiten unbemerkt umleiten. Damit HSTS funktioniert, müssen sowohl der Webserver als auch der Browser entsprechende Aufgaben erfüllen. Wir empfehlen deshalb immer aktuelle Browser-Versionen zu verwenden.

Maßnahmenpaket HSTS für mehr Sicherheit zwischen Browser und Webserver

HSTS besteht selbst aus einem Bündel an Sicherheitsfeatures und Maßnahmen. Mit der Direktive "includeSubDomains" kann HSTS auch für alle Subdomains aktiviert werden.

Aktuelle Browser kennen auch sogenannte „HSTS preload lists“. Hierbei sind dem Browser bereits „sichere Domains“, welche mit HSTS geschützt sind, bekannt. Der Browser kann somit automatisch eine sichere Verbindung zur Website aufbauen. Websites können durch diese Maßnahme schneller laden. Das Eintragen in eine solche „preload list“ ist hier (https://hstspreload.org) möglich. Doch es ist auch Vorsicht bei „preload“ geboten! Damit das Eintragen in diese Listen gelingt, muss die Website gewisse HSTS-Sicherheitsmaßnahmen erfüllen. Darunter auch die Direktive „max-age, welche angibt, mit welcher Gültigkeit eine Website ausschließlich verschlüsselt zur Verfügung stehen soll. Wählen Sie z.B. 1 Jahr als Dauer und Ihre Website ist nach 3 Monaten nicht mehr über HTTPS erreichbar, wenn z.B. ein SSL Zertifikat ungültig wird, so führt der Seitenaufruf im Browser zu einer Warnung bzw. zu einem Fehler. Zudem muss die Aufnahme von Subdomains in eine „preload list“ gut überlegt sein. Es dauert aktuell rund 6-12 Wochen, bis eine Website von der „HSTS preload listgelöscht wird. Und dann müssen die Browser-Hersteller die Listen auch noch in Ihren Browsern aktualisieren.

HTTP Grafik

Wichtiger Tipp

Browser müssen HSTS-Flags verwerfen, die über HTTP (eine nicht sichere Verbindungen) übertragen werden. Es ist daher empfohlen auch eine Umleitung von HTTP auf HTTPS einzurichten.

HSTS als SEO-Rankingfaktor

Zusammen mit Faktoren, wie Ladezeit und der mobilen Version einer Website, fällt HTTPS/HSTS unter die Kategorie „Website Qualität“, und ist damit Teil des Suchmaschinenrankings von Google.

Nachteil beim Hosting bei Ionos (1und1)

Wir haben es bisher nicht geschafft die entsprechenden HSTS Header in der .htaccess einer Website bei Ionos zu aktivieren. Grund hierfür ist, das Ionos PHP in einer speziellen Variante betreibt. Diese verhindert wohl, dass Header aus der .htaccess an den Apache Webserver übergeben werden können. Da es auch nicht möglich ist, in die Webserver-Konfiguration einzugreifen, ist uns aktuell keine Möglichkeit bekannt, HSTS bei Ionos zu nutzen. Für uns stellt dies ein klarer Wettbewerbsnachteil des Massenhosters dar.

Unsere Empfehlung für eine HSTS-Konfiguration für preload lists

#HSTS

<IfModule mod_headers.c>

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Header set X-XSS-Protection "1; mode=block"

Header set X-Content-Type-Options nosniff

Header set Referrer-Policy: no-referrer-when-downgrade

Header always append X-Frame-Options SAMEORIGIN

Header set Content-Security-Policy: "img-src *"

Header set Feature-Policy: "vibrate 'self';"

Header set Permissions-Policy: "geolocation=(self 'https://www.ihre-domain.de), microphone=()"

</IfModule>

Prüfen Sie die Verwendung der Header nach dem Aktivieren

Header set Content-Security-Policy: "img-src *"

Header set Feature-Policy: "vibrate 'self';"

Diese Einschränkungen können zu Problemen bei der externen Einbindung von Ressourcen wie Bildern und Videos führen. Solche Inhalte können dann unter Umständen nicht mehr korrekt angezeigt werden. Prüfen Sie auf jeden Fall Ihre Website nach dem Aktivieren der HSTS Header.

Machen Sie jetzt den HTTP Website-Check

https://securityheaders.com

 

Kommentareingabe ausblenden

1000 Buchstaben übrig


Telefon:  +49 (0) 7236-27900-58
eMail:  Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

Shoplahop - die clevere Web-Shop-Lösung