HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen.
Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"HSTS wird in der Regel immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS verwendet. Erstellen Sie dazu eine.htaccess-Datei mit folgendem Inhalt:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"