Der HTTP Header Strict Transport Security
ermgöglicht es, eine verschlüsselte Verbindung zwischen Server und Client (Browser) mithilfe von HTTPS zu erwzingen.
Mithilfe der Angabe max-age
im HSTS-Header wird der Browser angewiesen, diese Information für eine bestimmte Zeit zu speichern und in diesem Zeitraum keine unverschlüsselte Verbindungen zur angegebenen Webseite aufzubauen. Diese Maßnahme dient als Schutz vor Angriffen wie Protokoll-Downgrade, Session-Hijacking und Man-In-The-Middle-Attacken.
Beispiel für die Dauer von einem Jahr (31536000 Sekunden):
Strict-Transport-Security: max-age=31536000
Performance-Gewinn durch HSTS
Der Einsatz von HSTS erspart bei späteren Aufrufen einen expliziten Redirect auf das sicherere HTTPS-Protokoll, da dieser Redirect implizit vom Browser selbst durchgeführt wird. In der Netzwerk History ist dies als 307 Internal Redirect
sichtbar.
HSTS Preload List
Webseiten können der zentralen HSTS Preload List hinzugefügt werden. Diese Liste ist in den aktuellsten Browsern eingebaut, so dass der Schutz vor den genannten Angriffsvektoren bereits vor dem ersten Request an den Webserver besteht.
HSTS Deaktivieren
Um HSTS zu deaktivieren, kann ein HSTS-Header mit einer Gültigkeitsdauer von 0 Sekunden gesendet werden:
Strict-Transport-Security: max-age=0
HSTS bei wao.io
Das Aktivieren und Deaktivieren von HSTS ist in den Webseiten Einstellungen von wao.io auf einfache Weise möglich. Ein HSTS-Header des Origin-Servers hat Vorrang und wird unverändert weitergereicht, in diesem Fall ist diese Option wirkungslos.