HSTS für Netlify konfigurieren

Schritt-für-Schritt-Anleitung: HTTP Strict Transport Security auf Netlify einrichten und Preload beantragen.

Netlify · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 30. März 2026

HSTS auf Netlify

HTTP Strict Transport Security (HSTS) weist Browser an, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. HSTS ist mit 15 von 166 Punkten ein wichtiger Faktor im Wolf-Agents Web Security Check.

Netlify erzwingt HTTPS automatisch für alle Deployments und stellt kostenlose Let's Encrypt Zertifikate bereit. Den HSTS-Header müssen Sie jedoch manuell setzen — insbesondere für die Preload-Registrierung. Netlify setzt standardmäßig keinen HSTS-Header.

Ausführliche Einführung in HSTS

1 Schritt 1 von 3

HSTS-Header setzen

Setzen Sie den HSTS-Header über netlify.toml (empfohlen) oder die _headers-Datei. Die Konfiguration gilt für alle Deployments inklusive Deploy Previews.

# netlify.toml — HSTS Header
[[headers]]
  for = "/*"
  [headers.values]
    Strict-Transport-Security = "max-age=31536000; includeSubDomains; preload"

# _headers — HSTS (Alternative)
/*
  Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Netlify erzwingt HTTPS automatisch

Netlify leitet HTTP-Requests automatisch auf HTTPS um. HSTS ergaenzt dies, indem der Browser kuenftig direkt HTTPS verwendet — ohne den Redirect-Schritt. Das verhindert SSL-Stripping-Angriffe.

2 Schritt 2 von 3

Header verifizieren

Nach dem Deploy prüfen Sie den HSTS-Header mit curl. Sie können auch den Netlify CLI nutzen, um lokal zu testen.

# HSTS-Header prüfen
curl -sI https://ihre-domain.de | grep -i strict

# Erwartete Ausgabe:
# Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

# Lokal mit Netlify CLI testen
netlify dev
curl -sI http://localhost:8888 | grep -i strict

netlify dev simuliert die Netlify-Edge lokal. _headers und netlify.toml werden berücksichtigt, aber Edge Functions verhalten sich möglicherweise anders als in Produktion.

3 Schritt 3 von 3

Preload beantragen

Wenn HSTS korrekt gesetzt ist, können Sie Ihre Domain bei hstspreload.org registrieren. Browser laden dann ausschließlich HTTPS — bereits beim allerersten Besuch.

Preload ist quasi-permanent. Die Entfernung dauert Monate. Stellen Sie sicher, dass alle Subdomains HTTPS unterstützen. Bei Netlify betrifft das auch Deploy Previews unter deploy-preview-*.netlify.app — diese unterstützen HTTPS automatisch.

Häufige Fehler

Doppelter HSTS-Header

Wenn Sie HSTS in netlify.toml und _headers setzen, gewinnt netlify.toml. Verwenden Sie konsistent nur einen Weg.

Deploy Preview Domains

HSTS mit includeSubDomains gilt auch für Deploy Previews. Das ist gewünscht, da Netlify HTTPS für alle Subdomains erzwingt.

max-age zu niedrig

Für HSTS Preload muss max-age mindestens 31536000 (1 Jahr) betragen. Niedrigere Werte werden von hstspreload.org abgelehnt.

Compliance-Relevanz

HSTS ist eine Grundvoraussetzung für sichere Websites. PCI DSS fordert die ausschließliche Nutzung starker Kryptografie — HSTS stellt sicher, dass keine unverschlüsselten Verbindungen möglich sind. Der Wolf-Agents Web Security Check prüft HSTS inklusive Preload-Status und max-age-Wert.

Auch verfügbar für:

Nginx Apache WordPress Next.js Cloudflare Express Caddy Shopify TYPO3 Hetzner Laravel Drupal IONOS All-Inkl Shopware Contao Strato Joomla PHP Spring Boot Nuxt Vercel LiteSpeed AWS CloudFront

Wie steht Ihre Domain bei HSTS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo