HSTS auf IONOS konfigurieren
HTTP Strict Transport Security auf Ihrem IONOS Webhosting einrichten — SSL aktivieren, HSTS per .htaccess setzen und Preload-Voraussetzungen prüfen.
HTTP Strict Transport Security auf IONOS
HTTP Strict Transport Security (HSTS) weist Browser an, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. Der Header verhindert SSL-Stripping-Angriffe, bei denen ein Angreifer die Verbindung auf unverschlüsseltes HTTP herabstuft. HSTS ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check.
Voraussetzung: Ein aktives SSL-Zertifikat. Bei IONOS aktivieren Sie SSL im Control Panel unter Domains & SSL. IONOS bietet kostenlose SSL-Zertifikate (Let's Encrypt) für alle Hosting-Tarife. Erst wenn HTTPS funktioniert, dürfen Sie HSTS aktivieren — andernfalls sperren Sie Besucher aus.
Auf IONOS Shared Hosting setzen Sie HSTS per .htaccess. Auf einem IONOS vServer konfigurieren Sie den Header direkt in der Webserver-Konfiguration.
HSTS auf IONOS implementieren
Nach der SSL-Aktivierung im Control Panel setzen Sie den HSTS-Header per .htaccess. Der Wert max-age=31536000 entspricht einem Jahr — das Minimum für die HSTS-Preload-Liste. Zusätzlich empfiehlt sich ein HTTP-zu-HTTPS-Redirect, falls der IONOS Auto-Redirect nicht aktiv ist.
# .htaccess — HSTS Header
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule># .htaccess — HTTP zu HTTPS Redirect (falls IONOS Auto-Redirect nicht aktiv)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Starten Sie mit max-age=300 (5 Minuten) zum Testen. Erhöhen Sie dann auf max-age=604800 (1 Woche) und schließlich auf max-age=31536000 (1 Jahr). So können Sie bei Problemen schnell zurückrudern.
Verifizierung
Laden Sie die .htaccess-Datei per FTP oder IONOS Dateimanager hoch und prüfen Sie den HSTS-Header. Der Header muss in der HTTPS-Antwort vorhanden sein — bei HTTP-Anfragen wird er vom Browser ignoriert.
# HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strict-transport-security
# Erwartete Ausgabe:
# strict-transport-security: max-age=31536000; includeSubDomains; preloadpreload in den Header aufnehmen. Alle Subdomains müssen ebenfalls HTTPS unterstützen. Häufige Fehler bei HSTS auf IONOS
HSTS ohne aktives SSL-Zertifikat
HSTS ohne funktionierendes HTTPS sperrt Besucher vollständig aus. Der Browser weigert sich, die Seite über HTTP zu laden. Aktivieren Sie SSL erst im IONOS Control Panel und testen Sie HTTPS, bevor Sie HSTS in der .htaccess setzen.
Subdomain hat eigenes Verzeichnis
Bei IONOS hat jede Subdomain ein eigenes Verzeichnis. Die .htaccess der Hauptdomain gilt nicht für Subdomains. Wenn Sie includeSubDomains verwenden, müssen Sie HTTPS und HSTS auch auf jeder Subdomain einzeln konfigurieren.
IONOS Auto-HTTPS-Redirect fehlt
Manche IONOS-Tarife leiten HTTP-Anfragen nicht automatisch auf HTTPS um. Ohne Redirect kann der Browser den HSTS-Header beim ersten Besuch über HTTP nicht empfangen. Ergänzen Sie den RewriteRule-basierten Redirect in der .htaccess.
Compliance-Relevanz
HSTS ist eine Grundvoraussetzung für die Transportsicherheit und wird von allen relevanten Compliance-Frameworks verlangt. Auch auf Shared Hosting liegt die Verantwortung für HSTS beim Website-Betreiber.
Wie steht Ihre Domain bei HSTS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.