HSTS für LiteSpeed konfigurieren
Schritt-für-Schritt-Anleitung: HTTP Strict Transport Security auf LiteSpeed einrichten — per .htaccess oder Web Admin Console, inklusive QUIC/HTTP3 und Preload.
HSTS auf LiteSpeed Web Server
HTTP Strict Transport Security (HSTS) schützt Ihre Besucher vor SSL-Stripping-Angriffen, indem der Browser ausschließlich verschlüsselte Verbindungen akzeptiert. LiteSpeed unterstützt HSTS über die Apache-kompatible .htaccess-Syntax, die Web Admin Console oder die Virtual-Host-Konfiguration.
Ein besonderer Vorteil von LiteSpeed: Native QUIC/HTTP3-Unterstützung. QUIC ist immer verschlüsselt — HSTS und QUIC ergänzen sich optimal. Apache bietet diese Funktion nicht. HSTS ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check.
HSTS-Header in LiteSpeed konfigurieren
LiteSpeed bietet zwei Wege: .htaccess für Shared Hosting ohne Root-Zugriff oder die Virtual-Host-Konfiguration für eigene Server. Die Web Admin Console (Port 7080) bietet zusätzlich eine grafische Oberfläche unter Virtual Hosts > Context > Header Operations.
# .htaccess — HSTS auf LiteSpeed aktivieren
<IfModule mod_headers.c>
# Nur über HTTPS senden (wichtig!)
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>
# HTTP → HTTPS Redirect
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule># /usr/local/lsws/conf/vhosts/example/vhconf.conf
# Virtual Host > Context > Header Operations
context / {
type NULL
location $DOC_ROOT/
extraHeaders {
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
}
}
# HTTPS-Redirect in der Listener-Konfiguration
# Web Admin Console > Listeners > [HTTP] > Secure = YesLiteSpeed sendet den HSTS-Header auch über QUIC/HTTP3-Verbindungen. Aktivieren Sie QUIC in der Web Admin Console unter Listeners > [HTTPS] > QUIC für maximale Performance und Sicherheit.
env=HTTPS? Die Bedingung sendet den HSTS-Header nur über verschlüsselte Verbindungen. RFC 6797 verlangt, dass Browser HSTS über HTTP ignorieren — env=HTTPS ist Best Practice für saubere Header-Hygiene.
Konfiguration testen und verifizieren
Nach der Konfiguration ist ein Graceful Restart zwingend erforderlich, da LiteSpeed .htaccess-Dateien cached. Prüfen Sie anschließend den HSTS-Header mit curl — auch über QUIC/HTTP3, falls verfügbar. Der Wolf-Agents Web Security Check verifiziert HSTS automatisch.
# 1. Graceful Restart (LiteSpeed cached .htaccess!)
/usr/local/lsws/bin/lswsctrl restart
# 2. HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strict
# Erwartete Ausgabe:
# Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
# 3. QUIC/HTTP3-Unterstützung prüfen
curl -sI --http3 https://ihre-domain.de | grep -i strict
# (erfordert curl mit HTTP3-Support)
# 4. HTTP-Redirect testen
curl -sI http://ihre-domain.de | grep -i location
# Location: https://ihre-domain.de/HSTS Preload beantragen
Wenn HSTS stabil funktioniert, registrieren Sie Ihre Domain bei der HSTS Preload List. Browser erzwingen dann HTTPS ab dem allerersten Besuch — auch ohne vorherigen HTTP-Kontakt. Die Voraussetzungen: max-age von mindestens 31536000, includeSubDomains und preload.
max-age=31536000, includeSubDomains und preload mail., ftp. und interne Subdomains. Häufige Fehler bei HSTS auf LiteSpeed
Diese LiteSpeed-spezifischen Fehler treten bei der HSTS-Konfiguration am häufigsten auf und verhindern, dass der Header korrekt ausgeliefert wird.
.htaccess-Änderungen nicht wirksam
LiteSpeed cached .htaccess. Ohne Graceful Restart bleibt der alte Header aktiv. Lösung: /usr/local/lsws/bin/lswsctrl restart
Web Admin Console überschreibt .htaccess
Header in der Web Admin Console haben Vorrang. Prüfen Sie Virtual Hosts > Context > Header Operations auf Konflikte.
Plesk LiteSpeed-Plugin ignoriert manuelle Config
Das Plesk LiteSpeed-Plugin verwaltet Header eigenständig. Manuelle vhconf.conf-Änderungen werden beim nächsten Plesk-Update überschrieben. Nutzen Sie .htaccess oder das Plugin-Interface.
HSTS auf HTTP-Listener gesetzt
HSTS darf nur über HTTPS gesendet werden. Die env=HTTPS-Bedingung in .htaccess verhindert dies. In der vhconf.conf müssen Sie den Header nur im HTTPS-Context setzen.
Compliance-Relevanz
PCI DSS 4.0 (Anforderung 4.2.1) fordert starke Kryptografie für alle Datenübertragungen — HSTS erzwingt HTTPS und erfüllt diese Anforderung. NIS2 verlangt Verschlüsselung als technische Sicherheitsmaßnahme. BSI IT-Grundschutz (APP.3.1.A14) empfiehlt HSTS mit Preload. Der Wolf-Agents Web Security Check bewertet HSTS mit bis zu 15 Punkten.
Wie steht Ihre Domain bei HSTS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.
Häufig gestellte Fragen
Funktioniert HSTS mit LiteSpeed QUIC/HTTP3?
Ja. LiteSpeed unterstützt QUIC/HTTP3 nativ und sendet den HSTS-Header auch über HTTP3-Verbindungen. QUIC basiert auf UDP und ist immer verschlüsselt — HSTS und QUIC ergänzen sich optimal.
Warum wird mein HSTS-Header nicht sofort aktiv?
LiteSpeed cached .htaccess-Dateien. Nach Änderungen müssen Sie einen Graceful Restart ausführen: /usr/local/lsws/bin/lswsctrl restart. Erst dann liest LiteSpeed die aktualisierte .htaccess ein.
Kann ich HSTS auf LiteSpeed Shared Hosting setzen?
Ja. Die .htaccess-Methode funktioniert auf Shared Hosting mit LiteSpeed genauso wie auf Apache. Der IfModule-Wrapper verhindert Fehler, falls mod_headers nicht geladen ist.
Was ist der Unterschied zu HSTS auf Apache?
Die .htaccess-Syntax ist identisch. Unterschiede: LiteSpeed cached .htaccess (Graceful Restart nötig), die Web Admin Console bietet eine grafische Alternative, und LiteSpeed unterstützt QUIC/HTTP3 nativ.