HSTS (HTTP Strict Transport Security)

Was ist HSTS?

HTTP Strict Transport Security, abgek├╝rzt HSTS ist eine Richtlinie f├╝r die Sicherheit bei der Daten├╝bertragung im Internet, die dazu beitr├Ągt, Websites vor Angriffen durch Protokoll├Ąnderungen und Cookie-Hijacking zu sch├╝tzen. HSTS erm├Âglicht es, Webserver so zu deklarieren, dass Webbrowser oder andere konforme Benutzeragenten nur ├╝ber sichere HTTPS-Verbindungen und nicht ├╝ber das unsichere HTTP-Protokoll mit ihm interagieren k├Ânnen. HSTS ist ein IETF-Standards-Track-Protokoll und in RFC 6797 spezifiziert.

Unsichere Daten├╝bertragungen ├╝ber HTTP

Durch die Bereitstellung von Webseiten und Daten ├╝ber HTTP-Verbindungen werden Benutzer Sicherheitsrisiken ausgesetzt. Da Server normalerweise nicht direkt miteinander verbunden sind, m├╝ssen sie ihre Anforderungen und Antworten ├╝ber eine Reihe von Netzwerkroutern weiterleiten. Diese Router, die sich zwischen Servern befinden, haben vollst├Ąndigen Zugriff auf Anforderungen, die ├╝ber HTTP-Verbindungen gesendet werden. Da die Daten als unverschl├╝sselter Klartext ├╝bertragen werden, k├Ânnen die Router als Man-in-the-Middle fungieren und Daten w├Ąhrend der ├ťbertragung lesen oder manipulieren.

Tipp

Wenn Sie noch Fragen bez├╝glich Man-in-the-Middle haben, dann k├Ânnen Sie gerne den jeweiligen Glossar dazu besuchen und sich ├╝ber das Thema informieren.

Dies kann dazu f├╝hren, dass Benutzer manipulierte Informationen erhalten oder an feindliche Server weitergeleitet werden, die von Angreifern verwendet werden, um Informationen wie Kennw├Ârter und Kreditkarteninformationen zu stehlen. Diese Art des Abfangens kann unentdeckt bleiben, da eine gef├Ąlschte HTTP-Antwort einer echten Antwort ├Ąhnelt.

Die HSTS-Richtlinie erzwingt, dass alle Antworten HTTPS-Verbindungen anstelle von Klartext-HTTP durchlaufen. Dadurch wird sichergestellt, dass der gesamte Kanal verschl├╝sselt wird, bevor Daten gesendet werden. Dadurch k├Ânnen Angreifer die Daten nicht lesen oder ├Ąndern, w├Ąhrend sie ├╝bertragen werden.

Wie funktioniert HTTP Strict Transport Security?

Um HTTP Strict Transport Security auf einem Server zu aktivieren, muss der folgende HSTS-Antwortheader in einer HTTPS-Antwort hinzuf├╝gt werden:

Strict-Transport-Security: max-age = expireTime [; includeSubdomains]

Zum Beispiel:

Strict-Transport-Security: max-age = 16070400; includeSubDomains

Der max-age Parameter ist das maximale Alter in Sekunden. Dies gibt die Zeit an, zu der der Browser ├╝ber die HTTPS-Verbindung eine Verbindung zum Server herstellen soll. Es wird jedoch empfohlen, die Unterverzeichnisse durch “includeSubDomains” einzuschlie├čen, damit der Browser die HTTPS-Verbindung f├╝r vorhandene und zuk├╝nftige Subdomains verwendet.

Wenn der Browser eines Users auf die Website zugreift, antwortet der Server mit dem HTTP Strict Transport Security Header. Dadurch wird der Browser angewiesen, nur ├╝ber HTTPS eine Verbindung zum Server und, wenn die Subdomains eingeschlossen wurden, zur gesamten Dom├Ąne herzustellen. Der Browser wird dann die HTTPS-Verbindung bis zum angegebenen H├Âchstalter verwenden.

Selbst wenn ein Benutzer wie gewohnt http://www.beispiel.de oder den Dom├Ąnennamen ohne http eingibt, ein Lesezeichen oder einen HTTP-Link eines Drittanbieters verwendet, aktualisiert der Browser die Anforderung automatisch auf HTTPS. Nach dem Empfang des HTTP Strict Transport Security-Headers sendet der Browser eine sichere HTTPS-Anforderung. Sobald das maximale Alter abgelaufen ist, greift der Browser dann wieder ├╝ber HTTP auf den Server zu, sofern der Benutzer nicht HTTPS eingibt.

HSTS wird von den meisten Browsern unterst├╝tzt. Chrome und Mozilla Firefox f├╝hren eine HSTS-Vorladeliste, die den Browser automatisch informiert, dass eine Website nur ├╝ber HTTPS aufgerufen werden kann. Ein Webmaster kann der vorinstallierten HTTP Strict Transport Security Liste eine weitere Website hinzuf├╝gen, indem der Parameter “preload” zum Header hinzugef├╝gt und dann die Dom├Ąne an die Liste gesendet wird. Zum Beispiel:

Strict-Transport-Security: max-age = 31536000; includeSubDomains; preload

Ein Beispiel f├╝r die Anwendung von HSTS

Wenn ein Benutzer versucht, ├╝ber ein ├Âffentliches WLAN eine Verbindung zur Online-Banking-Plattform seiner Bank herzustellen, kann es passieren, dass der Zugangspunkt nicht die Plattform der Bank, sondern der Computer eines Hackers ist. Der Hacker f├Ąngt die urspr├╝ngliche HTTP-Anforderung des Browsers des Bankkunden ab und leitet den Benutzer zu einem Klon der Website der Bank weiter. Dadurch werden alle privaten Daten des Benutzers wie Kreditkartendaten und Kennwort angezeigt und k├Ânnen vom Hacker mitgelesen und f├╝r kriminelle Zwecke missbraucht werden. Die HTTP Strict Transport Security Richtlinie beseitigt dieses Sicherheitsproblem. Solange der Benutzer ├╝ber eine HTTPS-Verbindung vor der Website auf die Website der Bank zugegriffen hat, verwendet der Browser automatisch HTTPS, um solche Man-in-the-Middle-Angriffe zu verhindern.

Beispielkopfzeilen f├╝r HTTP Strict Transport Security

Strict-Transport-Security: max-age = 631138519; includeSubdomains

Diese Kopfzeile erzwingt die Verwendung von HTTPS f├╝r die kommenden 20 Jahre, einschlie├člich der Verbindungen zu allen gegenw├Ąrtigen und zuk├╝nftigen Subdomains.

Strict-Transport-Security: max-age = 31536000

Dies erzwingt die Verwendung von HTTPS f├╝r ein Jahr, schlie├čt jedoch keine Subdomains ein.

Die Vorteile von HTTP Strict Transport Security

HSTS erm├Âglicht einen wirksamen Schutz vor HTTP-Downgrade-Angriffen (SSL-Stripping-Angriffe), indem der gesamte Datenverkehr HTTPS verwendet. Es schreibt Anforderungen neu, die nicht auf verschl├╝sselte Quellen verweisen. Es hilft bei der Verteidigung gegen gemischte Inhalte. In Situationen, in denen eine Dom├Ąne gemischten Inhalt hat, aktualisiert HSTS automatisch HTTPS-Abrufe. Insgesamt erh├Âht HSTS die Verbindungssicherheit. Ein HSTS-kompatibler Browser bricht die Verbindung zu einem HSTS-kompatiblen Server ab, wenn die Sicherheit eines Zertifikats nicht best├Ątigt werden kann. Au├čerdem k├Ânnen Benutzer keine selbst signierten Zertifikate durchklicken.

HTTP Strict Transport Security ist eine einfache, aber leistungsstarke Web-Sicherheitsrichtlinie, die HTTPS-Websites vor MITM-Angriffen sch├╝tzt. Dies bewirkt, dass die kompatiblen Browser Sicherheitspraktiken durchsetzen, indem alle HTTP-Links automatisch in HTTPS-Links umgewandelt werden. Der Wechsel von HTTP zu sicheren HTTPS-Verbindungen (mit SSL) bietet die beste Verteidigung gegen Downgrade-Angriffe. HSTS stellt sicher, dass die gesamte Kommunikation verschl├╝sselt ist und alle gesendeten und empfangenen Antworten an den authentifizierten Server ├╝bermittelt und von diesem empfangen werden.

Tipp

Wenn Sie noch Fragen bez├╝glich eines Online Marketing Themas haben, dann k├Ânnen Sie gerne unseren Glossar besuchen und sich ├╝ber das Thema informieren, wo Sie noch speziell Fragen haben.


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte