HSTS für Cloudflare konfigurieren
HSTS in 5 Minuten über das Cloudflare Dashboard aktivieren — kein Serverkonfiguration nötig, alle Plans inklusive Free.
HSTS über Cloudflare
Cloudflare bietet HSTS als Dashboard-Einstellung — ohne Code-Änderungen auf Ihrem Server. Der HSTS-Header wird am Cloudflare Edge gesetzt, bevor die Response den Browser erreicht. In Kombination mit „Always Use HTTPS" erhalten Sie einen vollständigen Schutz gegen SSL-Stripping.
Die Besonderheit bei Cloudflare: Der HSTS-Header wird unabhängig vom Origin-Server gesetzt. Selbst wenn Ihr Backend keinen HSTS-Header sendet, fügt Cloudflare ihn am Edge hinzu. Das macht die Konfiguration besonders einfach — und funktioniert in allen Plans inklusive Free. Der Wolf-Agents Web Security Check prüft HSTS automatisch — als Teil der 166 Prüfpunkte.
HSTS im Cloudflare Dashboard aktivieren
Navigieren Sie im Cloudflare Dashboard zu Ihrer Zone und aktivieren Sie HSTS unter SSL/TLS. Cloudflare bietet eine Bestätigungsabfrage, bevor HSTS aktiviert wird — eine Sicherheitsmaßnahme, die versehentliche Konfiguration verhindert.
Öffnen Sie die SSL/TLS-Einstellungen Ihrer Zone
Leitet alle HTTP-Requests automatisch auf HTTPS um (301 Redirect)
Aktiviert den HSTS-Header — Cloudflare zeigt eine Bestätigungsabfrage
Cloudflares HSTS-Einstellung kann gleichzeitig X-Content-Type-Options: nosniff setzen. Dieser Header verhindert MIME-Type-Sniffing — aktivieren Sie ihn ebenfalls.
Konfiguration verifizieren
Nach der Aktivierung im Dashboard ist der HSTS-Header sofort aktiv. Verifizieren Sie den Header mit curl — der cf-ray-Header bestätigt, dass die Response über Cloudflare läuft.
# HSTS-Header und Cloudflare-Header prüfen
curl -sI https://example.com | grep -iE 'strict|cf-ray'
# Erwartete Ausgabe:
# strict-transport-security: max-age=31536000; includeSubDomains; preload
# cf-ray: 1234abcd-FRAcf-ray-Header fehlt, läuft der Traffic nicht über Cloudflare. Prüfen Sie, ob DNS-Records auf „Proxied" (orange Wolke) stehen. HSTS Preload beantragen
Mit aktiviertem Preload in Cloudflare erfüllen Sie bereits alle Voraussetzungen. Reichen Sie Ihre Domain auf hstspreload.org ein — Cloudflare hat includeSubDomains und preload bereits im Header.
Wie steht Ihre Domain bei HSTS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Setzt Cloudflare HSTS automatisch?
Nein. Cloudflare erzwingt zwar HTTPS über „Always Use HTTPS", setzt aber den HSTS-Header nicht automatisch. Sie müssen HSTS explizit unter SSL/TLS → Edge Certificates aktivieren.
Brauche ich HSTS auf dem Origin-Server, wenn Cloudflare HSTS setzt?
Nicht zwingend — Cloudflare setzt den HSTS-Header am Edge, bevor die Response den Nutzer erreicht. Wenn Sie allerdings Cloudflare deaktivieren (z.B. bei Wartung), fehlt der HSTS-Header. Doppeltes HSTS (Edge + Origin) ist harmlos und bietet zusätzliche Sicherheit.
Was ist der Unterschied zwischen Always Use HTTPS und HSTS?
Always Use HTTPS leitet HTTP-Requests serverseitig auf HTTPS um (301 Redirect). HSTS weist den Browser an, zukünftige Requests automatisch über HTTPS zu senden — noch bevor die Anfrage das Netzwerk erreicht. Beide zusammen bieten den besten Schutz.
Kann ich HSTS für einzelne Subdomains deaktivieren?
Nein. Cloudflares HSTS-Einstellung gilt pro Zone (Domain). Wenn Sie includeSubDomains aktivieren, gilt HSTS für alle Subdomains. Stellen Sie vor der Aktivierung sicher, dass alle Subdomains HTTPS unterstützen.
Funktioniert HSTS Preload mit Cloudflare im Free Plan?
Ja. Die HSTS-Konfiguration inklusive Preload ist in allen Cloudflare-Plans verfügbar — auch im kostenlosen Free Plan. Es gibt keine Plan-Einschränkungen für HSTS.