HSTS (HTTP Strict Transport Security)

Copyright © Shutterstock /Momius13

Was ist HSTS?

HTTP Strict Transport Security, abgekürzt HSTS ist eine Richtlinie für die Sicherheit bei der Datenübertragung im Internet, die dazu beiträgt, Websites vor Angriffen durch Protokolländerungen und Cookie-Hijacking zu schützen. HSTS ermöglicht es, Webserver so zu deklarieren, dass Webbrowser oder andere konforme Benutzeragenten nur über sichere HTTPS-Verbindungen und nicht über das unsichere HTTP-Protokoll mit ihm interagieren können. HSTS ist ein IETF-Standards-Track-Protokoll und in RFC 6797 spezifiziert.

Unsichere Datenübertragungen über HTTP

Durch die Bereitstellung von Webseiten und Daten über HTTP-Verbindungen werden Benutzer Sicherheitsrisiken ausgesetzt. Da Server normalerweise nicht direkt miteinander verbunden sind, müssen sie ihre Anforderungen und Antworten über eine Reihe von Netzwerkroutern weiterleiten. Diese Router, die sich zwischen Servern befinden, haben vollständigen Zugriff auf Anforderungen, die über HTTP-Verbindungen gesendet werden. Da die Daten als unverschlüsselter Klartext übertragen werden, können die Router als Man-in-the-Middle fungieren und Daten während der Übertragung lesen oder manipulieren.

Dies kann dazu führen, dass Benutzer manipulierte Informationen erhalten oder an feindliche Server weitergeleitet werden, die von Angreifern verwendet werden, um Informationen wie Kennwörter und Kreditkarteninformationen zu stehlen. Diese Art des Abfangens kann unentdeckt bleiben, da eine gefälschte HTTP-Antwort einer echten Antwort ähnelt.

Die HSTS-Richtlinie erzwingt, dass alle Antworten HTTPS-Verbindungen anstelle von Klartext-HTTP durchlaufen. Dadurch wird sichergestellt, dass der gesamte Kanal verschlüsselt wird, bevor Daten gesendet werden. Dadurch können Angreifer die Daten nicht lesen oder ändern, während sie übertragen werden.

Wie funktioniert HTTP Strict Transport Security?

Um HTTP Strict Transport Security auf einem Server zu aktivieren, muss der folgende HSTS-Antwortheader in einer HTTPS-Antwort hinzufügt werden:

Strict-Transport-Security: max-age = expireTime [; includeSubdomains]

Zum Beispiel:

Strict-Transport-Security: max-age = 16070400; includeSubDomains

Der max-age Parameter ist das maximale Alter in Sekunden. Dies gibt die Zeit an, zu der der Browser über die HTTPS-Verbindung eine Verbindung zum Server herstellen soll. Es wird jedoch empfohlen, die Unterverzeichnisse durch “includeSubDomains” einzuschließen, damit der Browser die HTTPS-Verbindung für vorhandene und zukünftige Subdomains verwendet.

Wenn der Browser eines Users auf die Website zugreift, antwortet der Server mit dem HTTP Strict Transport Security Header. Dadurch wird der Browser angewiesen, nur über HTTPS eine Verbindung zum Server und, wenn die Subdomains eingeschlossen wurden, zur gesamten Domäne herzustellen. Der Browser wird dann die HTTPS-Verbindung bis zum angegebenen Höchstalter verwenden.

Selbst wenn ein Benutzer wie gewohnt http://www.beispiel.de oder den Domänennamen ohne http eingibt, ein Lesezeichen oder einen HTTP-Link eines Drittanbieters verwendet, aktualisiert der Browser die Anforderung automatisch auf HTTPS. Nach dem Empfang des HTTP Strict Transport Security-Headers sendet der Browser eine sichere HTTPS-Anforderung. Sobald das maximale Alter abgelaufen ist, greift der Browser dann wieder über HTTP auf den Server zu, sofern der Benutzer nicht HTTPS eingibt.

HSTS wird von den meisten Browsern unterstützt. Chrome und Mozilla Firefox führen eine HSTS-Vorladeliste, die den Browser automatisch informiert, dass eine Website nur über HTTPS aufgerufen werden kann. Ein Webmaster kann der vorinstallierten HTTP Strict Transport Security Liste eine weitere Website hinzufügen, indem der Parameter “preload” zum Header hinzugefügt und dann die Domäne an die Liste gesendet wird. Zum Beispiel:

Strict-Transport-Security: max-age = 31536000; includeSubDomains; preload

Ein Beispiel für die Anwendung von HSTS

Wenn ein Benutzer versucht, über ein öffentliches WLAN eine Verbindung zur Online-Banking-Plattform seiner Bank herzustellen, kann es passieren, dass der Zugangspunkt nicht die Plattform der Bank, sondern der Computer eines Hackers ist. Der Hacker fängt die ursprüngliche HTTP-Anforderung des Browsers des Bankkunden ab und leitet den Benutzer zu einem Klon der Website der Bank weiter. Dadurch werden alle privaten Daten des Benutzers wie Kreditkartendaten und Kennwort angezeigt und können vom Hacker mitgelesen und für kriminelle Zwecke missbraucht werden. Die HTTP Strict Transport Security Richtlinie beseitigt dieses Sicherheitsproblem. Solange der Benutzer über eine HTTPS-Verbindung vor der Website auf die Website der Bank zugegriffen hat, verwendet der Browser automatisch HTTPS, um solche Man-in-the-Middle-Angriffe zu verhindern.

Beispielkopfzeilen für HTTP Strict Transport Security

Strict-Transport-Security: max-age = 631138519; includeSubdomains

Diese Kopfzeile erzwingt die Verwendung von HTTPS für die kommenden 20 Jahre, einschließlich der Verbindungen zu allen gegenwärtigen und zukünftigen Subdomains.

Strict-Transport-Security: max-age = 31536000

Dies erzwingt die Verwendung von HTTPS für ein Jahr, schließt jedoch keine Subdomains ein.

Die Vorteile von HTTP Strict Transport Security

HSTS ermöglicht einen wirksamen Schutz vor HTTP-Downgrade-Angriffen (SSL-Stripping-Angriffe), indem der gesamte Datenverkehr HTTPS verwendet. Es schreibt Anforderungen neu, die nicht auf verschlüsselte Quellen verweisen. Es hilft bei der Verteidigung gegen gemischte Inhalte. In Situationen, in denen eine Domäne gemischten Inhalt hat, aktualisiert HSTS automatisch HTTPS-Abrufe. Insgesamt erhöht HSTS die Verbindungssicherheit. Ein HSTS-kompatibler Browser bricht die Verbindung zu einem HSTS-kompatiblen Server ab, wenn die Sicherheit eines Zertifikats nicht bestätigt werden kann. Außerdem können Benutzer keine selbst signierten Zertifikate durchklicken.

HTTP Strict Transport Security ist eine einfache, aber leistungsstarke Web-Sicherheitsrichtlinie, die HTTPS-Websites vor MITM-Angriffen schützt. Dies bewirkt, dass die kompatiblen Browser Sicherheitspraktiken durchsetzen, indem alle HTTP-Links automatisch in HTTPS-Links umgewandelt werden. Der Wechsel von HTTP zu sicheren HTTPS-Verbindungen (mit SSL) bietet die beste Verteidigung gegen Downgrade-Angriffe. HSTS stellt sicher, dass die gesamte Kommunikation verschlüsselt ist und alle gesendeten und empfangenen Antworten an den authentifizierten Server übermittelt und von diesem empfangen werden.