Checkin ....

 
 

GlossaryHSTS – HTTP Strict Transport Security

April 25, 2024

Beschreibung

HTTP Strict Transport Security (HSTS) ist ein wesentlicher Sicherheitsmechanismus, der entwickelt wurde, um sichere HTTPS-Verbindungen zwischen Webbrowsern und Servern durchzusetzen. Im Wesentlichen instruiert HSTS Webbrowser dazu, ausschließlich über HTTPS mit einer Website zu kommunizieren, wodurch das Risiko von bestimmten Arten von Cyberangriffen, wie beispielsweise Man-in-the-Middle-Angriffen und SSL-Stripping-Angriffen, verringert wird. Durch das Verständnis der Grundlagen von HSTS und seiner Rolle in der Web-Sicherheit können Benutzer ihre Online-Aktivitäten besser schützen.

Empfohlene Maßnahmen

Die Aktivierung von HSTS auf Webservern erfordert spezifische Konfigurationsschritte, die auf verschiedene Serverumgebungen zugeschnitten sind. Ob Sie Apache, Nginx, IIS oder eine andere verwenden, die Implementierung von HSTS erfordert in der Regel die Anpassung von Servereinstellungen, um die entsprechenden HSTS-Direktiven einzubeziehen. Darüber hinaus können Websites die Sicherheit weiter erhöhen, indem sie sich in die HSTS-Preloading-Liste eintragen, um sicherzustellen, dass Browser automatisch HSTS für ihre Domänen durchsetzen.

Beispiel:
HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

  • max-age=31536000: Dieser Wert gibt die Dauer in Sekunden an, für die der Browser die HSTS-Richtlinie speichern soll. In diesem Beispiel entspricht dies einem Jahr (60 Sekunden * 60 Minuten * 24 Stunden * 365 Tage).
  • includeSubDomains: Diese Direktive zeigt an, dass die HSTS-Richtlinie auch für alle Subdomains der aktuellen Domain gelten soll.
  • preload: Diese Option signalisiert den Browsern, die Website in die HSTS-Preload-Liste aufzunehmen, was bedeutet, dass die HSTS-Richtlinie standardmäßig für alle Besucher angewendet wird, ohne dass sie die Website zuvor besucht haben.
    Dieses Header-Beispiel stellt sicher, dass alle Verbindungen zur Website und ihren Subdomains für ein Jahr über HTTPS erfolgen und dass die Website in die HSTS-Preload-Liste aufgenommen wird, um zusätzliche Sicherheit zu gewährleisten.
Weitere Informationen

Sie wollen wissen, wie es um die Cybersicherheit Ihres Unternehmens steht?

https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Machen Sie den Hack-Test von CheckFix
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Erhalten Sie den Sicherheits-Status IHRES Unternehmens
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Erhalten Sie die ToDo CheckList mit den wichtigsten Maßnahmen für Ihre Cybersicherheit
https://checkfix.io/wp-content/uploads/2024/05/Icon-white@2x_50.png
Arbeiten Sie Ihre ToDos mit Ihrem System-Administrator ab und werden Sie Herr über Ihre IT-Sicherheit
GRATIS SECURITY STATUS-CHECK
ALLE INFOS ZUM HACK-TEST VON CHECKFIX
previous
Uptime und Sicherheitsupdates
next
TLS Zertifikate richtig verwalten
Kontakt

E-Mail: office@checkfix.io

Tel.: +43 660 77 24 524

secinto

secinto GmbH

Poststraße 3

8530 Deutschlandsberg

Österreich

E-Mail: office@checkfix.com

*Studie KPMG zur Cybersecurity in Österreich 2023