HSTS auf All-Inkl konfigurieren
HTTP Strict Transport Security auf Ihrem All-Inkl Webhosting einrichten — Let's Encrypt über KAS aktivieren, HSTS per .htaccess setzen und Preload-Voraussetzungen erfüllen.
HTTP Strict Transport Security auf All-Inkl
HTTP Strict Transport Security (HSTS) weist Browser an, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. Der Header verhindert SSL-Stripping-Angriffe und ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check.
Voraussetzung: Ein aktives SSL-Zertifikat. Bei All-Inkl aktivieren Sie Let's Encrypt komfortabel über KAS — das Kunden-Administrations-System. Öffnen Sie KAS, navigieren Sie zu Domain, wählen Sie Ihre Domain und aktivieren Sie unter SSL-Schutz das Let's Encrypt-Zertifikat. Erst wenn HTTPS funktioniert, können Sie HSTS setzen.
HSTS auf All-Inkl implementieren
Setzen Sie den HSTS-Header zusammen mit der HTTPS-Weiterleitung in der .htaccess-Datei. Der Wert max-age=31536000 (1 Jahr) ist das Minimum für die HSTS-Preload-Liste. Beginnen Sie mit einem kürzeren max-age zum Testen.
# /www/htdocs/[username]/[domain]/.htaccess
# Schritt 1: HTTPS-Weiterleitung
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
# Schritt 2: HSTS-Header setzen
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>// PHP-Alternative
<?php
header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
?>Starten Sie mit max-age=300 (5 Minuten) zum Testen. Erhöhen Sie dann auf max-age=604800 (1 Woche) und schließlich auf max-age=31536000 (1 Jahr). So können Sie bei Problemen schnell zurückrudern.
Verifizierung
Laden Sie die .htaccess per FTP hoch und prüfen Sie den HSTS-Header. Der Header muss in der HTTPS-Antwort vorhanden sein — bei HTTP-Anfragen wird er vom Browser ignoriert.
# HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strict-transport-security
# Erwartete Ausgabe:
# strict-transport-security: max-age=31536000; includeSubDomains; preload
# HTTP-zu-HTTPS-Weiterleitung testen
curl -sI http://ihre-domain.de | grep -i locationHäufige Fehler bei HSTS auf All-Inkl
Let's Encrypt nicht aktiviert — HSTS ohne HTTPS nutzlos
HSTS ohne gültiges SSL-Zertifikat sperrt Besucher aus. Aktivieren Sie zuerst Let's Encrypt in KAS unter Domain → SSL-Schutz. Erst wenn https://ihre-domain.de fehlerfrei erreichbar ist, sollten Sie HSTS aktivieren.
Subdomain eigenes Verzeichnis — eigene .htaccess nötig
Subdomains bei All-Inkl haben eigene Verzeichnisse unter /www/htdocs/[user]/subdomain/. Bei includeSubDomains gilt HSTS auch für alle Subdomains — wenn eine Subdomain noch kein SSL hat, wird sie unzugänglich. Prüfen Sie, dass alle Subdomains in KAS unter Domain → SSL-Schutz ebenfalls ein Let's Encrypt-Zertifikat haben.
Browser-Cache zeigt alte Header
Haben Sie HSTS kürzlich hinzugefügt? Browser cachen HSTS-Einstellungen basierend auf dem vorherigen max-age-Wert. Testen Sie in einem Inkognito-Fenster oder löschen Sie den HSTS-Cache des Browsers unter chrome://net-internals/#hsts.
Compliance-Relevanz
HSTS ist eine Grundvoraussetzung für die Transportsicherheit und wird von allen relevanten Compliance-Frameworks verlangt. Auch auf Shared Hosting trägt der Website-Betreiber die Verantwortung für die korrekte HTTPS-Konfiguration.
Wie steht Ihre Domain bei HSTS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.