HTTP Strict Transport Security
Sichere Webseiten mit HSTS
Mit HTTP Strict Transport Security (HSTS) kann ein Webserver dem Browser mitteilen, dass alle Inhalte dieser Domain nur über das verschlüsselnde HTTPS übertragen werden dürfen.
Der Browser merkt sich dies und greift auf Inhalte von dieser Domain ausschliesslich verschlüsselt zu.
Technisch ist HTTP Strict Transport Security im RFC 6797 definiert. Der Webserver liefert bei Zugriffen auf diese Domain den HTTP-Header Strict-Transport-Security aus. Die kann z.B. im Apache erfolgen mit der Anweisung
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"