HTTP Strict Transport Security

Sichere Webseiten mit HSTS

Mit HTTP Strict Transport Security (HSTS) kann ein Webserver dem Browser mitteilen, dass alle Inhalte dieser Domain nur über das verschlüsselnde HTTPS übertragen werden dürfen.

Der Browser merkt sich dies und greift auf Inhalte von dieser Domain ausschliesslich verschlüsselt zu.

Technisch ist HTTP Strict Transport Security im RFC 6797 definiert. Der Webserver liefert bei Zugriffen auf diese Domain den HTTP-Header Strict-Transport-Security aus. Die kann z.B. im Apache erfolgen mit der Anweisung

Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"