Notizen
HSTS (Strict-Transport-Security) – meine Zusammenfassung
hsts header DACH · strict transport security deutschland · https erzwingen hsts
Was der Strict-Transport-Security-Header bewirkt, max-age und wie man HSTS mit einem HTTP-Header-Checker verifiziert.
HSTS sagt dem Browser «nur HTTPS für diesen Host für N Sekunden». Hilft gegen sslstrip-Angriffe beim ersten Besuch, wenn korrekt konfiguriert.
HTTPS muss funktionieren, BEVOR man einen langen max-age aktiviert. Unsere Folie sagte, klein anfangen wie max-age=300 zum Testen.
Die HSTS-Header-Prüfung in einem Tool zeigt, ob der Header vorhanden ist und manchmal Preload-Flags.
Die Preload-Liste ist separat – eine Domain einzureichen ist eine ernsthafte Verpflichtung. Das haben wir auf der kostenlosen Subdomain nicht gemacht.
Wenn HSTS aktiv ist und das Zertifikat kaputtgeht, können Benutzer nicht leicht durchklicken – erst Zertifikat reparieren, dann HSTS. Aus einem Demo-Fehler gelernt.