HSTS auf Strato konfigurieren

HTTP Strict Transport Security auf Ihrem Strato Webhosting einrichten — SSL aktivieren, HSTS per .htaccess setzen und Preload-Voraussetzungen prüfen.

HSTS prüfen Plattform entdecken
Strato · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 28. März 2026

HTTP Strict Transport Security auf Strato

HTTP Strict Transport Security (HSTS) zwingt Browser, ausschließlich verschlüsselte HTTPS-Verbindungen zu verwenden. Dies schützt vor SSL-Stripping-Angriffen und versehentlichen HTTP-Aufrufen. HSTS ist mit 15 von 166 Punkten im Wolf-Agents Web Security Check vertreten.

Auf Strato Shared Hosting setzen Sie HSTS per .htaccess mit mod_headers. Voraussetzung: SSL muss im Strato-Kundenbereich aktiviert sein. Ohne funktionierendes HTTPS ist HSTS wirkungslos und kann sogar dazu führen, dass Ihre Website nicht mehr erreichbar ist. Auf dem Strato V-Server konfigurieren Sie HSTS direkt in der Webserver-Konfiguration. Wolf-Agents prüft den HSTS-Header automatisch — inklusive max-age-Wert, includeSubDomains und Preload-Status.

Wichtig: Aktivieren Sie SSL im Strato-Kundenbereich unter Domains → SSL-Verwaltung und warten Sie, bis das Zertifikat ausgestellt ist, bevor Sie HSTS konfigurieren. Bei Strato kann die SSL-Aktivierung bis zu einige Stunden dauern.

Ausführliche Einführung in HSTS

HSTS auf Strato implementieren

Stellen Sie sicher, dass SSL im Strato-Kundenbereich aktiv ist, bevor Sie HSTS konfigurieren. Laden Sie die .htaccess-Datei per FTP in das Webroot-Verzeichnis Ihres Strato-Pakets hoch. Beginnen Sie zum Testen mit einem niedrigen max-age (z.B. 300 Sekunden) und erhöhen Sie ihn nach erfolgreicher Verifizierung.

HSTS
.htaccess Empfohlen 
# .htaccess — HSTS Header
<IfModule mod_headers.c>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
HTTPS Redirect
.htaccess Redirect 
# .htaccess — HTTP zu HTTPS Redirect (falls Strato Auto-Redirect nicht aktiv)
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
PHP Fallback
index.php Alternative 
// PHP — HSTS per header() setzen (Fallback falls .htaccess ignoriert wird)
<?php
header("Strict-Transport-Security: max-age=31536000; includeSubDomains; preload");
?>
Strato V-Server und Managed Server

Auf einem Strato V-Server mit Root-Zugriff konfigurieren Sie HSTS direkt in der Webserver-Konfiguration. Auf dem Managed Server nutzen Sie das Plesk-Panel unter Apache & nginx Einstellungen, um den HSTS-Header hinzuzufügen.

HSTS mit preload und einem max-age von einem Jahr ist praktisch nicht rückgängig zu machen. Starten Sie mit max-age=300, prüfen Sie gründlich, und erhöhen Sie erst dann. Subdomains ohne HTTPS werden durch includeSubDomains unerreichbar.

Verifizierung

Prüfen Sie den HSTS-Header per curl. Bei Strato kann es einige Minuten dauern, bis eine neue .htaccess wirksam wird. Achten Sie darauf, dass der Header über https:// geprüft wird — über HTTP wird HSTS nicht gesendet.

Terminal Verifizierung 
# HSTS-Header pruefen
curl -sI https://ihre-domain.de | grep -i strict-transport-security

# Erwartete Ausgabe:
# strict-transport-security: max-age=31536000; includeSubDomains; preload

# Preload-Status pruefen:
# https://hstspreload.org/?domain=ihre-domain.de
Der Wolf-Agents Web Security Check prüft Ihren HSTS-Header automatisch und bewertet ihn mit bis zu 15 Punkten — inklusive Preload-Status.

Häufige Fehler bei HSTS auf Strato

SSL muss manuell im Strato-Kundenbereich aktiviert werden

HSTS ohne aktives SSL-Zertifikat führt zu einem nicht erreichbaren Webauftritt. Der Browser versucht HTTPS, erhält aber kein gültiges Zertifikat. Aktivieren Sie SSL zuerst im Strato-Kundenbereich unter Domains → SSL-Verwaltung und warten Sie auf die Bestätigung.

max-age zu niedrig für Preload

Ein max-age von weniger als 31536000 Sekunden (1 Jahr) verhindert die Aufnahme in die HSTS Preload List. Starten Sie zum Testen mit einem kleinen Wert (z.B. 300) und erhöhen Sie nach Verifizierung auf den vollen Wert.

.htaccess bei Strato ignoriert — mod_rewrite Konflikt

Wenn Strato die .htaccess ignoriert, prüfen Sie auf Konflikte mit bestehenden mod_rewrite-Regeln. Stellen Sie den <IfModule mod_headers.c>-Block nach allen RewriteRule-Direktiven.

WordPress-Hosting: .htaccess bei Updates zurückgesetzt

Strato kann bei WordPress-Updates die .htaccess zurücksetzen. Sichern Sie Ihre HSTS-Konfiguration und prüfen Sie nach jedem Update, ob der Header noch gesetzt wird. Alternativ: HSTS per Plugin (z.B. Really Simple SSL) setzen.

Compliance-Relevanz

HSTS ist in vielen Compliance-Frameworks als Grundanforderung für verschlüsselte Kommunikation gefordert. Auch auf Strato Shared Hosting liegt die Verantwortung für die Header-Konfiguration beim Website-Betreiber.

PCI DSS 4.0Anforderung 4.2.1 — Starke Kryptographie für Übertragung sensibler Daten
NIS2Art. 21(e) — Sicherheit bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen
BSIAPP.3.1 — Webserver-Absicherung mit Security Headern

Auch verfügbar für:

NginxApacheWordPressNext.jsCloudflareExpressCaddyShopifyTYPO3HetznerLaravelDrupalIONOSAll-InklShopwareContaoJoomlaPHPSpring Boot

Wie steht Ihre Domain bei HSTS?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 166 Prüfpunkte.

Web Security Check starten Monitoring ab 199 EUR/Mo