HSTS für Bunny CDN konfigurieren

HTTP Strict Transport Security per Edge Rule aktivieren — mit Force SSL, QUIC/HTTP3-Unterstützung und Preload für maximale HTTPS-Erzwingung.

HSTS prüfen Plattform entdecken
Bunny CDN · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

HSTS auf Bunny CDN

HTTP Strict Transport Security (HSTS) weist Browser an, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. HSTS ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check. Auf Bunny CDN setzen Sie HSTS per Edge Rule und aktivieren Force SSL für den HTTP-zu-HTTPS-Redirect.

Bunny CDN unterstützt nativ QUIC/HTTP3 — die neueste Version des HTTP-Protokolls mit verbesserter Performance und Sicherheit. In Kombination mit HSTS und Force SSL erzwingen Sie die bestmögliche Transportverschlüsselung auf CDN-Ebene.

Ausführliche Einführung in HSTS

1 Schritt 1 von 3

HSTS per Edge Rule und Force SSL

Legen Sie eine Edge Rule für den HSTS-Header an und aktivieren Sie Force SSL in den Pull Zone Settings. Force SSL leitet alle HTTP-Requests per 301 auf HTTPS um — die Voraussetzung für HSTS Preload.

Bunny Dashboard Dashboard 
# Bunny Dashboard → Pull Zone → Edge Rules → Add Edge Rule

Condition:    Match All
Action:       Set Response Header
Header Name:  Strict-Transport-Security
Header Value: max-age=31536000; includeSubDomains; preload

# Force SSL aktivieren:
# Pull Zone → General → SSL → Force SSL: ON
# → Leitet alle HTTP-Requests auf HTTPS um (301)
2 Schritt 2 von 3

HSTS per Bunny API konfigurieren

Für automatisierte Deployments erstellen Sie die Edge Rule und aktivieren Force SSL per API. Beide Konfigurationen sind idempotent — sie können bedenkenlos mehrfach ausgeführt werden.

Bunny API (cURL) API 
# Bunny API — HSTS Edge Rule erstellen
curl -X POST https://api.bunny.net/pullzone/{pullZoneId}/edgerules \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{
  "ActionType": 15,
  "ActionParameter1": "Strict-Transport-Security",
  "ActionParameter2": "max-age=31536000; includeSubDomains; preload",
  "Triggers": [{
    "Type": 0,
    "PatternMatchingType": 0,
    "PatternMatches": ["*"]
  }],
  "TriggerMatchingType": 0,
  "Description": "HSTS Header",
  "Enabled": true
}'

# Force SSL per API aktivieren
curl -X POST https://api.bunny.net/pullzone/{pullZoneId} \
  -H "AccessKey: YOUR_API_KEY" \
  -H "Content-Type: application/json" \
  -d '{"EnableForceSSL": true}'
Preload ist quasi-permanent. Die Entfernung aus der HSTS Preload List dauert Monate. Stellen Sie sicher, dass alle Subdomains und der Custom Hostname HTTPS unterstützen, bevor Sie bei hstspreload.org einreichen.
3 Schritt 3 von 3

Verifizieren und Preload beantragen

Prüfen Sie den HSTS-Header, den Force-SSL-Redirect und optional den QUIC/HTTP3-Support. Testen Sie sowohl die b-cdn.net-URL als auch Ihren Custom Hostname. Anschließend können Sie bei hstspreload.org die Aufnahme in die Preload List beantragen.

Terminal Verifizieren 
# HSTS-Header prüfen
curl -sI https://ihre-domain.b-cdn.net | grep -i strict-transport-security

# Erwartete Ausgabe:
strict-transport-security: max-age=31536000; includeSubDomains; preload

# HTTP-Redirect prüfen (Force SSL)
curl -sI http://ihre-domain.b-cdn.net | head -3

# Erwartete Ausgabe:
HTTP/1.1 301 Moved Permanently
Location: https://ihre-domain.b-cdn.net/

# QUIC/HTTP3 prüfen (falls aktiviert)
curl -sI https://ihre-domain.b-cdn.net | grep -i alt-svc
# alt-svc: h3=":443"; ma=86400

Häufige Fehler

Force SSL nicht aktiviert

HSTS ohne Force SSL ist wirkungslos beim ersten Besuch. Aktivieren Sie Force SSL, damit HTTP-Requests per 301 auf HTTPS umgeleitet werden. Erst danach greift HSTS für Folge-Requests.

Custom Hostname ohne SSL

Wenn Sie einen Custom Hostname verwenden, muss das SSL-Zertifikat aktiv sein, bevor Sie HSTS aktivieren. Bunny stellt kostenlose Let's-Encrypt-Zertifikate bereit — prüfen Sie den Zertifikatsstatus im Dashboard.

HSTS nur auf b-cdn.net, nicht auf Custom Domain

Edge Rules gelten für die gesamte Pull Zone — einschließlich aller Custom Hostnames. Prüfen Sie trotzdem beide URLs, da DNS-Konfigurationen unterschiedlich sein können.

Compliance-Relevanz

HSTS ist eine Grundvoraussetzung für sichere Websites. PCI DSS fordert die ausschließliche Nutzung starker Kryptografie — HSTS stellt sicher, dass keine unverschlüsselten Verbindungen möglich sind. BSI IT-Grundschutz (APP.3.1.A12) empfiehlt HTTPS-Erzwingung. NIS2 fordert technische Maßnahmen zur Verschlüsselung. Bunny CDN mit EU-only Storage Zones unterstützt zusätzlich die DSGVO-konforme Datenverarbeitung. Der Wolf-Agents Web Security Check prüft HSTS inklusive Preload-Status und max-age-Wert.

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoStratoJoomlaPHPSpring BootNuxtVercelLiteSpeedAWS CloudFrontAstro

Wie steht Ihre Domain bei HSTS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo