HSTS: HTTP Strict Transport Security richtig konfigurieren
HSTS erzwingt verschlüsselte Verbindungen und verhindert SSL-Stripping-Angriffe. Erfahren Sie, wie der Header funktioniert, warum Preload entscheidend ist und wie Sie HSTS in 5 Minuten implementieren.
Warum HTTP Strict Transport Security?
HSTS (HTTP Strict Transport Security) ist ein HTTP-Header, der den Browser anweist, ausschließlich verschlüsselte HTTPS-Verbindungen zu nutzen — automatisch und ohne Nutzerinteraktion. Ohne HSTS kann ein Angreifer die erste HTTP-Anfrage abfangen und die verschlüsselte Verbindung auf unverschlüsseltes HTTP herabstufen — ein sogenannter SSL-Stripping-Angriff. In öffentlichen WLANs ist dieser Angriff mit frei verfügbaren Tools wie sslstrip in Sekunden durchführbar. Das Ergebnis: Session-Cookies, Login-Daten und personenbezogene Daten werden im Klartext übertragen.
HTTP Strict Transport Security schließt diese Lücke: Der Header weist den Browser an, ausschließlich verschlüsselte Verbindungen zu nutzen — automatisch und ohne Nutzerinteraktion. HSTS ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check. Die Implementierung dauert weniger als 5 Minuten und birgt bei korrekter Konfiguration kein Risiko.
Was ist SSL-Stripping?
Ohne HSTS kann ein Angreifer im selben Netzwerk die HTTPS-Verbindung auf HTTP herabstufen. Der Nutzer merkt nichts — der Angreifer liest Session-Cookies, Passwörter und personenbezogene Daten im Klartext mit.
Ohne HSTS
- Browser sendet erste Anfrage über unverschlüsseltes HTTP
- Angreifer fängt Session-Cookies und Zugangsdaten im Klartext ab
- Man-in-the-Middle-Proxy kommuniziert verschlüsselt mit dem Server — Nutzer sieht nichts
- Tools wie sslstrip automatisieren den Angriff vollständig
Mit HSTS
- Browser erzwingt HTTPS automatisch — noch vor dem Netzwerk-Request
- SSL-Stripping wird unmöglich — Verbindung ist von Anfang an verschlüsselt
- Preload-Liste schützt auch den allerersten Besuch (kein TOFU-Problem)
- Nachweisbare Compliance-Maßnahme für NIS2, DSGVO und BSI IT-Grundschutz
Der HSTS-Header im Detail
Die empfohlene HSTS-Konfiguration besteht aus drei Direktiven. Zusammen stellen sie sicher, dass alle Verbindungen — auch zu Subdomains — verschlüsselt sind und Ihre Domain in der Browser-Preload-Liste aufgenommen werden kann.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preloadmax-age
Gültigkeitsdauer in Sekunden, für die der Browser HTTPS erzwingt. Nach Ablauf muss der Header erneut empfangen werden.
Empfehlung: 31536000 (1 Jahr) oder 63072000 (2 Jahre)includeSubDomains
Weitet HSTS auf alle Subdomains aus. Erst aktivieren, wenn alle Subdomains HTTPS unterstützen.
Pflicht für Preload-Aufnahmepreload
Signalisiert die Bereitschaft zur Aufnahme in die HSTS Preload List. Browser erzwingen HTTPS dann ab dem allerersten Besuch.
Für maximalen Schutz empfohlenStufenweiser Rollout in 5 Wochen
Starten Sie mit einem kurzen max-age und steigern Sie schrittweise. So können Sie bei Problemen schnell zurücksetzen, ohne dass Browser wochenlang einen falschen HSTS-Eintrag zwischenspeichern.
| Woche | Konfiguration | Zweck |
|---|---|---|
| 1 | max-age=300 | 5 Minuten — Funktionstest, schnelles Zurücksetzen möglich |
| 2 | max-age=604800 | 1 Woche — Monitoring, Subdomains prüfen |
| 4 | max-age=2592000 | 1 Monat — Stabilitätstest unter Last |
| 8 | max-age=31536000; includeSubDomains | 1 Jahr mit Subdomains — finale Konfiguration |
| 12 | max-age=63072000; includeSubDomains; preload | 2 Jahre + Preload — maximale Sicherheit |
Aktivieren Sie includeSubDomains erst, wenn alle Subdomains HTTPS unterstützen. Ein vergessenes http://mail.example.com wird danach für die gesamte max-age-Dauer nicht mehr erreichbar sein.
HSTS Preload List: Schutz ab dem ersten Besuch
Das HSTS-Dilemma heißt TOFU — Trust On First Use: Der allererste Besuch ist ungeschützt, weil der Browser noch keinen HSTS-Header kennt. Die HSTS Preload List löst dieses Problem: Browser enthalten eine fest eingebaute Liste von Domains, die von Anfang an nur über HTTPS erreichbar sind.
Voraussetzungen für die Preload-Liste
- Gültiges SSL-Zertifikat auf der Hauptdomain
- HTTP → HTTPS Redirect (301) auf allen Seiten
-
max-agemindestens 31536000 (1 Jahr) -
includeSubDomains-Direktive gesetzt -
preload-Direktive gesetzt - Alle Subdomains müssen HTTPS unterstützen
Registrierung auf hstspreload.org — die Liste wird von allen großen Browsern (Chrome, Firefox, Safari, Edge) übernommen. Die preload-Direktive ist keine RFC-Spezifikation, sondern eine Chromium-Konvention.
Die Entfernung aus der Preload-Liste dauert mehrere Monate, da sie ein neues Chromium-Release und die Synchronisierung aller Browser erfordert. max-age=0 hat bei preloaded Domains keine Wirkung. Stellen Sie sicher, dass alle Subdomains dauerhaft HTTPS unterstützen, bevor Sie Preload beantragen.
HSTS und regulatorische Anforderungen
HSTS erzwingt verschlüsselte Datenübertragung — eine Grundanforderung mehrerer Regulierungen. Der Header ist ein einfach nachweisbarer Baustein Ihrer technischen und organisatorischen Maßnahmen (TOM).
NIS2 / §30 BSIG
Maßnahme (h) fordert Konzepte für Kryptografie, Maßnahme (j) die Sicherheit der Kommunikation. HSTS erzwingt TLS-Verschlüsselung als technische Maßnahme. Die Geschäftsleitung haftet persönlich nach §38 BSIG.
NIS2-Checkliste ansehen →DSGVO Art. 32
„Verschlüsselung" wird als erste technische Maßnahme in Art. 32(1)(a) genannt. HSTS stellt sicher, dass personenbezogene Daten bei der Übertragung verschlüsselt sind — ein dokumentierbarer Nachweis für Datenschutz-Audits.
BSI IT-Grundschutz
APP.3.1.A21 fordert sichere HTTP-Konfiguration. TR-02102-2 spezifiziert TLS-Anforderungen. HSTS stellt sicher, dass die konfigurierte Transportverschlüsselung auch tatsächlich genutzt wird — ohne Fallback auf HTTP.
Wie steht Ihre Domain bei HSTS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Was ist HSTS (HTTP Strict Transport Security)?
HSTS ist ein HTTP-Sicherheitsheader, der Browser anweist, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. Selbst wenn ein Nutzer http:// eingibt, leitet der Browser automatisch auf HTTPS um — noch bevor die Anfrage das Netzwerk erreicht.
Schützt HSTS vor allen Man-in-the-Middle-Angriffen?
HSTS schützt zuverlässig vor SSL-Stripping-Angriffen, bei denen ein Angreifer die HTTPS-Verbindung auf HTTP herabstuft. Den ersten Besuch (Trust On First Use) sichert HSTS allein nicht ab — dafür ist die HSTS Preload List nötig, die Domains fest in den Browser einbettet.
Was passiert, wenn mein SSL-Zertifikat abläuft und HSTS aktiv ist?
Bei aktivem HSTS zeigen Browser bei Zertifikatsfehlern keine „Trotzdem fortfahren"-Option. Ein abgelaufenes Zertifikat macht Ihre Website vollständig unerreichbar, bis es erneuert wird. Automatische Zertifikatserneuerung (z.B. Let's Encrypt) ist daher Pflicht.
Kann ich HSTS rückgängig machen?
Dynamisches HSTS (via Header) können Sie mit max-age=0 zurücksetzen. Steht Ihre Domain auf der Preload-Liste, hat max-age=0 keine Wirkung — die Entfernung über hstspreload.org dauert mehrere Monate. Preload ist eine quasi-permanente Entscheidung.
Was bedeutet includeSubDomains bei HSTS?
Die includeSubDomains-Direktive weitet HSTS auf alle Subdomains aus. Aktivieren Sie diese erst, wenn alle Subdomains HTTPS unterstützen — andernfalls werden Subdomains ohne HTTPS unerreichbar. Für die Aufnahme in die Preload-Liste ist includeSubDomains Pflicht.
Ist HSTS für NIS2-Compliance erforderlich?
HSTS ist nicht explizit in NIS2 genannt, gehört aber zum Stand der Technik bei Transportverschlüsselung nach §30 BSIG Maßnahme (h) Kryptografie. In Kombination mit TLS 1.2/1.3 bildet HSTS einen dokumentierbaren Compliance-Nachweis. Wolf-Agents prüft Ihre HSTS-Konfiguration als Teil des Web Security Checks.