HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) er en server indstilling som gennemtvinger en sikker forbindelse.

Ved anvendelse af HSTS kontrollerer browseren om en sikker forbindelse via HTTPS til den besøgte webside er lavet. Hvis dette ikke er tilfældet, bliver den besøgende automatisk omdirigeret fra http til https, og dermed til den sikre version af hjemmesiden. Hvis ikke der er en sikker forbindelse tilgængelig, vil den besøgende se en fejlmeddelelse, og browseren afviser forbindelsen. Brug af HSTS kan forhindre 'man in the middle' angreb, fordi en hjemmeside på denne måde ikke kan blive omdirigeret til en usikker side.

For at gøre brug af HSTS bliver alle ubeskyttede forbindelser først omdirigeret til en sikker forbindelse, så bliver en særlig HSTS header indstillet browseren instrueres fra nu af kun at tilgå dette domæne via HTTPS-forbindelser. Ved 'max-age' indstillingen i headern får browseren at vide hvor længe forbindelsen skal ske via HTTPS. Indstillingen IncludeSubdomains gør at HSTS headeren er også aktiv for alle underdomæner for det besøgte domæne.

Når du besøger et websted for første gang, vil browseren forsøge at oprette forbindelse via HTTP. Dette skyldes, at browseren ikke ved at hjemmesiden er HSTS aktiveret, forbindelsen er tilbøjelig til et "mand i midten" angreb. Hvis browseren understøtter afsendelse af en "pre-load" HSTS-liste, opretter browsere automatisk en HTTPS-forbindelse. For at medtage dit websted på den forudindlæste HSTS-liste kan du sende en forespørgsel til her. Hele preloadlisten kan er offentligt tilgænglig via Chromium.

Support

BrowserStøtte fra version
Google Chrome and Chromium 4.0.211.0
Firefox 4, preload liste er includeret siden Firefox 17
Opera 12
Safari OS X Mavericks
Internet Explorer 11 på Windows 7 med update KB 3058515
Microsoft Edge Windows 10
Blackberry browser og Webview Blackberry OS 10.3.3

Konfiguration af HSTS:

Konfiguration af HSTS er afhængig af serveren:

HSTS konfiguration for IIS

HSTS konfiguration for Apache

HSTS konfiguration for Nginx

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.