HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) er en server indstilling som gennemtvinger en sikker forbindelse.

Hvorfor HSTS?

Efter installation af et SSL certifikat kan en hjemmeside nås via en HTTPS forbindelse. På denne måde overføres data krypteret, så den ikke kan opsnappes. Brugen af HTTPS er dog ikke tilstrækkelig. Du ønsker også at tvinge brugen af HTTPS, selv om en besøgende bruger http adressen.

Hvordan virker HSTS?

Ved anvendelse af HSTS kontrollerer browseren om en sikker forbindelse via HTTPS til den besøgte webside er lavet. Hvis dette ikke er tilfældet, bliver den besøgende automatisk omdirigeret fra http til https, og dermed til den sikre version af hjemmesiden. Hvis ikke der er en sikker forbindelse tilgængelig, vil den besøgende se en fejlmeddelelse, og browseren afviser forbindelsen. Brug af HSTS kan forhindre 'man in the middle' angreb, fordi en hjemmeside på denne måde ikke kan blive omdirigeret til en usikker side.

For at kunne bruge HSTS bliver alle usikrede forbindelser først omdirigeret til en sikker forbindelse, hvorefter browseren instrueres ved hjælp af et HSTS header til kun at forbinde til det pågældende domæne via HTTPS. I headeren angives straks, hvor længe instruktionen skal gemmes ved hjælp af en 'max-age' indstilling. Indstillingen IncludeSubdomains gør HSTS header aktiv for alle underdomæner i det besøgte domæne.

HSTS Preloading

Når du besøger et websted for første gang, vil browseren forsøge at oprette forbindelse via HTTP. Dette skyldes, at browseren ikke ved, om hjemmesiden er HSTS aktiveret. Denne forbindelse er tilbøjelig til et "mand i midten" angreb. Hvis browseren understøtter afsendelse af en "pre-load" HSTS-liste, opretter browsere automatisk en HTTPS forbindelse. For at inkludere dit websted på den forudindlæste HSTS-liste, kan du sende en forespørgsel her. Hele preloadlisten kan læses offentligt via Chromium.

Support

Browser Støtte fra version
Internet Explorer 11 på Windows 7 med update KB 3058515
Microsoft Edge Windows 10
Opera 12
Firefox 4, preload listen er inkluderet fra Firefox 17
Safari OS X Mavericks
Chrome/Chromium

4.0.211.0

Blackberry browser og Webview Blackberry OS 10.3.3

Konfiguration af HSTS

Konfiguration af HSTS er afhængig af serveren:

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.