HSTS – HTTP Strict Transport Security

HttpsWieder mal ein Blog Eintrag für die technisch interessierten Leser 😉

Seit gestern werden die Besucher von www.schnied.net automatisch dazu “gezwungen”, die Seite SSL-verschüsselt per HTTPS Protokoll abzurufen. Ein Teil davon ist eine Technik namens HSTS.

Mit HSTS (HTTP Strict Transport Security) teilt ein Webserver dem Browser mit, dass dieser seine Inhalte ausschliesslich über eine verschlüsselte HTTPS-Verbindung abrufen soll. Diese Einstellung merkt sich der Browser und wandelt alle Links mit HTTP in HTTPS Links um.

So werden mehrere Umstände verbessert:

  • Die Webseite ist nicht “versehentlich” ohne HTTPS aufrufbar, wenn man beim Aufruf das “https://” vergisst einzugeben.
  • Die Gefahr einer Man-in-the-Middle-Attacke wird reduziert. Ein solcher Angriff könnte z.B. eine normale Umleitung auf HTTPS verhindern, indem die https-URLS durch gleichlautende http-Links ersetzt werden.

HSTS wird muss natürlich auch vom Browser unterstützt werden. Derzeit tun das aktuelle Versionen von Firefox, Chrome, Opera und Safari. Damit die Nutzer anderer Browser nicht ganz in die Röhre schauen, wird ein Aufruf per HTTP auf HTTPS weiter geleitet. Das bietet zwar nicht die gleiche Art der Sicherheit, verhindert aber wenigstens die “versehentliche” Nutzung per HTTP.

Posted in Technisches