HTTPS schützt die Website-Besucher, ist aber nicht perfekt. So funktioniert HSTS im Hintergrund, um HTTPS vor Hackern zu schützen.

Was ist HSTS und wie schützt es HTTPS vor Hackern?

Werbung Möglicherweise haben Sie sichergestellt, dass auf Ihren Websites SSL aktiviert ist und das hübsche Sicherheitsschloss in Ihrem Browser grün ist. Möglicherweise haben Sie jedoch den kleinen Sicherheitsmann von HTTP, HTTP Strict Transport Security (HSTS), vergessen. Was ist HSTS und wie kann es dazu beitragen, Ihre Website sicher zu halten? Wa

Werbung

Möglicherweise haben Sie sichergestellt, dass auf Ihren Websites SSL aktiviert ist und das hübsche Sicherheitsschloss in Ihrem Browser grün ist. Möglicherweise haben Sie jedoch den kleinen Sicherheitsmann von HTTP, HTTP Strict Transport Security (HSTS), vergessen.

Was ist HSTS und wie kann es dazu beitragen, Ihre Website sicher zu halten?

Was ist HTTPS?

HTTPS setzt auf HSTS

Hyper Text Transfer Protocol Secure (HTTPS) ist eine gesicherte Version einer Website (HTTP). Die Verschlüsselung wird mithilfe des SSL-Protokolls (Secure Sockets Layer) aktiviert und mit einem SSL-Zertifikat validiert. Wenn Sie eine Verbindung zu einer HTTPS-Website herstellen, werden die zwischen der Website und dem Benutzer übertragenen Informationen verschlüsselt.

Diese Verschlüsselung schützt Sie vor Datendiebstahl durch Man-in-the-Middle-Attacks (MITM). Die zusätzliche Sicherheitsebene trägt auch dazu bei, das Ansehen Ihrer Website zu verbessern. Demystify SEO: 5 Leitfäden zur Suchmaschinenoptimierung, die Ihnen den Einstieg erleichtern Demystify SEO: 5 Leitfäden zur Suchmaschinenoptimierung, die Ihnen den Einstieg erleichtern Die Beherrschung von Suchmaschinen erfordert Wissen, Erfahrung und viel Erfahrung und Fehler. Mit Hilfe vieler im Web verfügbarer SEO-Anleitungen können Sie die Grundlagen erlernen und häufige SEO-Fehler auf einfache Weise vermeiden. Weiterlesen . Tatsächlich ist das Hinzufügen eines SSL-Zertifikats so einfach, dass viele Webhosts es standardmäßig kostenlos zu Ihrer Site hinzufügen! Trotzdem weist HTTPS noch einige Mängel auf, die HSTS beheben kann.

Was ist HSTS?

HSTS ist ein Antwortheader, der einen Browser darüber informiert, dass aktivierte Websites nur über HTTPS aufgerufen werden können. Dies zwingt Ihren Browser dazu, nur auf die HTTPS-Version der Website und die darin enthaltenen Ressourcen zuzugreifen.

Möglicherweise wissen Sie nicht, dass die HTTP-Version weiterhin verfügbar ist, obwohl Sie Ihr SSL-Zertifikat korrekt eingerichtet und HTTPS für Ihre Website aktiviert haben. Dies gilt auch dann, wenn Sie die Weiterleitung mit 301 Permanent Redirection eingerichtet haben.

Obwohl es die HSTS-Richtlinie schon eine Weile gibt, wurde sie erst im Juli 2016 von Google offiziell eingeführt. Vielleicht haben Sie deshalb noch nicht viel davon gehört.

Durch das Aktivieren von HSTS werden SSL-Protokollangriffe und das Entführen von Cookies gestoppt. Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf Explains] Was ist ein Cookie und was hat es mit meiner Privatsphäre zu tun? [MakeUseOf Explains] Die meisten Menschen wissen, dass im Internet Cookies verstreut sind, die bereit und gewillt sind, von jedem gefressen zu werden, der sie zuerst findet. Warte was? Das kann nicht richtig sein. Ja, es gibt Cookies ... Lesen Sie mehr zwei zusätzliche Sicherheitslücken in SSL-fähigen Websites. Zusätzlich zur Erhöhung der Sicherheit einer Website wird HSTS das Laden von Websites beschleunigen, indem ein Schritt im Ladevorgang entfernt wird.

Was ist SSL-Stripping?

Obwohl HTTPS eine enorme Verbesserung gegenüber HTTP darstellt, ist es nicht unverwundbar, gehackt zu werden. SSL-Stripping ist ein sehr häufiger MITM-Hack für Websites, bei dem Benutzer über eine Umleitung von einem HTTP-Server zur HTTPS-Version ihrer Website geleitet werden.

301 (permanent) und 302 (temporär) Redirect funktionieren grundsätzlich so:

  1. Ein Nutzer gibt google.com in die Adressleiste seines Browsers ein.
  2. Der Browser versucht zunächst, http://google.com als Standard zu laden.
  3. "Google.com" ist mit einer permanenten 301-Weiterleitung zu https://google.com eingerichtet .
  4. Der Browser sieht die Weiterleitung und lädt stattdessen https://google.com .

Beim SSL-Stripping kann der Hacker die Zeit zwischen Schritt 3 und Schritt 4 verwenden, um die Umleitungsanforderung zu blockieren und den Browser daran zu hindern, die sichere Version (HTTPS) der Website zu laden. Wenn Sie dann auf eine unverschlüsselte Version der Website zugreifen, können alle von Ihnen eingegebenen Daten gestohlen werden.

Der Hacker kann Sie auch zu einer Kopie der Website weiterleiten, auf die Sie zugreifen möchten, und alle Ihre Daten bei der Eingabe erfassen, auch wenn sie sicher aussehen.

Google hat Schritte in Chrome implementiert, um einige Arten von Weiterleitungen zu stoppen. Das Aktivieren von HSTS sollte jedoch von nun an standardmäßig für alle Ihre Websites erfolgen.

Wie stoppt das Aktivieren von HSTS das SSL-Stripping?

Durch das Aktivieren von HSTS wird der Browser gezwungen, die sichere Version einer Website zu laden. Umleitungen und andere Aufrufe zum Öffnen einer HTTP-Verbindung werden ignoriert. Dies schließt die Sicherheitsanfälligkeit bezüglich Umleitung, die bei einer 301- und 302-Umleitung besteht.

HSTS hat sogar eine negative Seite: Der Browser eines Benutzers muss den HSTS-Header mindestens einmal sehen, bevor er ihn für zukünftige Besuche nutzen kann. Dies bedeutet, dass sie den HTTP> HTTPS-Prozess mindestens einmal durchlaufen müssen und beim ersten Besuch einer HSTS-fähigen Website angreifbar sind.

Um dem entgegenzuwirken, lädt Chrome eine Liste von Websites vor, auf denen HSTS aktiviert ist. Benutzer können HSTS-fähige Websites selbst an die Preload-Liste senden, wenn sie die erforderlichen (einfachen) Kriterien erfüllen.

HSTS-Vorspannungsprüfung

Zu dieser Liste hinzugefügte Websites werden in zukünftigen Versionen von Chrome-Updates fest codiert. Es stellt sicher, dass jeder, der Ihre HSTS-fähigen Websites in aktualisierten Chrome-Versionen besucht, sicher bleibt.

Firefox, Opera, Safari und Internet Explorer haben ihre eigene HSTS-Vorladeliste, sie basieren jedoch auf der Chrome-Liste auf hstspreload.org.

So aktivieren Sie HSTS auf Ihrer Website

Um HSTS auf Ihrer Website zu aktivieren, benötigen Sie zunächst ein gültiges SSL-Zertifikat. 7 Gründe, warum Ihre Website ein SSL-Zertifikat benötigt. 7 Gründe, warum Ihre Website ein SSL-Zertifikat benötigt. Es spielt keine Rolle, ob Sie ein bescheidenes Blog oder einen vollständigen E-Commerce entwickeln Site: Sie benötigen ein SSL-Zertifikat. Hier sind einige praktische Gründe warum. Weiterlesen . Wenn Sie HSTS ohne aktivieren, ist Ihre Website für keinen Besucher verfügbar. Stellen Sie daher sicher, dass Ihre Website und alle Unterdomänen über HTTPS funktionieren, bevor Sie fortfahren.

Das Aktivieren von HSTS ist ziemlich einfach. Sie müssen der .htaccess-Datei auf Ihrer Site lediglich einen Header hinzufügen. Der Header, den Sie hinzufügen müssen, ist:

 Strict-Transport-Security: max-age=31536000; includeSubDomains

Dies fügt ein maximal einjähriges Zugriffs-Cookie hinzu (was ist ein Cookie? Cookies sind nicht alle schlecht: 6 Gründe, sie in Ihrem Browser aktiviert zu lassen Cookies sind nicht alle schlecht: 6 Gründe, sie in Ihrem Browser aktiviert zu lassen Sind Cookies wirklich Stellen sie ein Risiko für Ihre Sicherheit und Privatsphäre dar oder gibt es gute Gründe, Cookies zu aktivieren? (Lesen Sie mehr), einschließlich Ihrer Website und etwaiger Unterdomänen. Sobald ein Browser auf die Website zugegriffen hat, kann er ein Jahr lang nicht auf die ungesicherte HTTP-Version der Website zugreifen. Stellen Sie sicher, dass alle Unterdomänen in dieser Domäne im SSL-Zertifikat enthalten sind und HTTPS aktiviert ist. Wenn Sie dies vergessen, können Sie nach dem Speichern der .htaccess-Datei nicht mehr auf die Unterdomänen zugreifen.

Websites, auf denen die Option includeSubDomains fehlt, können zu Datenschutzverlusten führen, indem Subdomains die Manipulation von Cookies zulassen. Wenn includeSubDomains aktiviert ist, sind diese Angriffe im Zusammenhang mit Cookies nicht möglich.

Hinweis: Bevor Sie das maximale Alter von einem Jahr hinzufügen, testen Sie zunächst Ihre gesamte Website mit dem maximalen Alter von fünf Minuten. Verwenden Sie dabei Folgendes : max-age = 300;

Google empfiehlt sogar, dass Sie Ihre Website und ihre Leistung (Traffic) mit einer Woche und einem Monat testen, bevor Sie ein maximales Alter von zwei Jahren festlegen.

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains

Erstellen der HSTS-Vorladeliste

Inzwischen sollten Sie mit HSTS vertraut sein und wissen, warum es wichtig ist, dass Ihre Site es verwendet. Die Sicherheit Ihrer Website-Besucher im Internet sollte ein zentrales Element Ihres Website-Plans sein.

Um für die von Chrome und anderen Browsern verwendete HSTS-Vorladeliste berechtigt zu sein, muss Ihre Website die folgenden Anforderungen erfüllen:

  1. Stellen Sie ein gültiges SSL-Zertifikat bereit.
  2. Leiten Sie von HTTP zu HTTPS auf demselben Host um, wenn Sie Port 80 überwachen.
  3. Serve alle Subdomains über HTTPS. Insbesondere müssen Sie HTTPS für die www.subdomain unterstützen, wenn ein DNS- Eintrag für diese Subdomain vorhanden ist.
  4. Bereitstellen eines HSTS-Headers in der Basisdomäne für HTTPS-Anforderungen:
    • Das Höchstalter muss mindestens 31536000 Sekunden (1 Jahr) betragen.
    • Die includeSubDomains-Direktive muss angegeben werden.
    • Die Preload-Direktive muss angegeben werden.
    • Wenn Sie eine zusätzliche Weiterleitung von Ihrer HTTPS-Site aus bereitstellen, muss diese Weiterleitung weiterhin den HSTS-Header enthalten (und nicht die Seite, auf die sie weiterleitet).

Wenn Sie Ihre Website zur HSTS-Vorladeliste hinzufügen möchten, stellen Sie sicher, dass Sie das erforderliche Vorladetag hinzufügen. Mit der Option "Vorladen" wird angegeben, dass Ihre Website zur HSTS-Vorladeliste von Chrome hinzugefügt werden soll. Der Antwortheader in .htaccess sollte dann so aussehen:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Wir empfehlen, dass Sie Ihre Website zu hstspreload.org hinzufügen. Die Anforderungen sind recht einfach zu erfüllen und tragen zum Schutz der Besucher Ihrer Website bei und verbessern möglicherweise das Suchmaschinenranking Ihrer Website. Wie funktionieren Suchmaschinen? Wie funktionieren Suchmaschinen? Für viele Menschen ist Google das Internet. Es ist wohl die wichtigste Erfindung seit dem Internet. Und während sich Suchmaschinen seitdem stark verändert haben, sind die zugrunde liegenden Prinzipien immer noch dieselben. Weiterlesen .

Erfahren Sie mehr über: HSTS, HTTPS, Online-Sicherheit, SSL.