HTTP Strict Transport Security
HTTP Strict Transport Security (HSTS) ist ein Mechanismus der dafür sorgen soll,
dass möglichst wenig Verbindungen unverschlüsselt aufgebaut werden.
HSTS wird verwendet um dem Browser mitzuteilen, dass eine Webseite über HTTPS erreichbar ist,
und alle zukünftigen Verbindungen zu dieser Domain ausschließlich über HTTPS aufgebaut werden sollen.
Hierfür sendet der Webserver einen HTTP Header an den Browser.
Der HTTP Header muss zusätzlich mit einer Time-to-live(TTL) versehen werden.
Ein Beispiel des Headers mit einer Laufzeit von einem Jahr kann wie folgt aussehen:
Strict-Transport-Security: max-age=31536000;
In eine .htaccess Datei des Apache Webservers lässt sich der Header mit Hilfe von mod_header wie folgt integrieren:
Header add Strict-Transport-Security "max-age=31536000"
Browserunterstützung
| Browser | Version |
|---|---|
| Google Chrome | 4.0.211.0 |
| Mozilla Firefox | 4 |
| Opera | 12 |
| Safari | Mac OS X 10.9 |
| Microsoft Internet Explorer | 11 (Wenn Update KB3058515 installiert ist) |
| iOS Safari | 7.1 |
| Google Chrome Android | 44 |
