HSTS: Das sollten Sie über die HTTPS-Erweiterung wissen

Was ist HSTS?

In den letzten Jahren hat sich der Schutz sensibler Daten zunehmend ins Internet verlagert. Umso wichtiger ist es, vertrauliche Informationen ausschließlich über sichere Verbindungen zu übertragen. Genau diesen Standard stellt HSTS auf modernen Websites sicher. Die Abkürzung steht für „HTTP Strict Transport Security” -- ein Sicherheitsheader, der den Browser beim Aufruf einer Website zu einer verschlüsselten Verbindung zwingt. OWASP beschreibt HSTS als Sicherheitsheader im technischen Kontext.

In diesem Beitrag erfahren Sie, was Sie über HSTS wissen sollten und wie Sie als Website-Betreiber ein Höchstmaß an Sicherheit für Ihre Besucher gewährleisten. Außerdem klären wir den Zusammenhang zwischen HSTS und HTTPS. Dazu betrachten wir Protokolle, Zertifikate und technische Hintergründe im Detail und gehen der Frage nach, ob Sie als Betreiber dem SSL-Stripping heute noch schutzlos ausgeliefert sind.

HTTPS-Erweiterung mit HSTS

Um den Nutzen von HSTS zu verstehen, lohnt sich ein Blick auf den Zusammenhang mit HTTPS. Bei einer HTTPS-Verbindung werden Ihre Daten während der Kommunikation mit der Website verschlüsselt. Das erschwert es Dritten erheblich, Ihre Daten abzufangen oder Informationen mitzulesen. HSTS lässt sich serverseitig vom Website-Betreiber aktivieren und erzwingt in jedem Fall eine sichere Verbindung über HTTPS.

Ein einfacher 301-Redirect allein reicht nicht aus, um eine Man-in-the-Middle-Attacke zu verhindern. Dabei könnte ein Angreifer die Kommunikation zwischen Ihnen und der Website abfangen und manipulieren, indem er die Weiterleitung auf HTTPS unterbricht. Genau das verhindert HSTS, indem es die verschlüsselte Verbindung zwingend durchsetzt. Google warnt Nutzer bereits seit einigen Jahren aktiv vor dem Aufruf unverschlüsselter Websites.

SSL-Stripping: So gefährlich ist es heute

Im Kontext der Websicherheit verdient SSL-Stripping besondere Aufmerksamkeit. Bei dieser Angriffsmethode sucht ein Proxy gezielt nach SSL-geschützten Login-Pfaden und hebelt das Zertifikat durch eine modifizierte Version aus. Die Folge: Der Benutzer ruft die vermeintlich durch SSL geschützte Website auf und verschickt seine Anmeldedaten unverschlüsselt im Klartext. Ein Man-in-the-Middle kann diese Daten anschließend problemlos mitlesen.

Bereits vor knapp 20 Jahren ermöglichte SSL-Stripping das Abfangen von Besucherinformationen und den unverschlüsselten Zugriff auf Cookies mit sensiblen Daten. Einmal implementiert, erkennen weder der Benutzer noch der Server den Angriff. Beide gehen von einer sicheren Verbindung aus, sodass der Datenversand nicht hinterfragt wird. Zum Schutz sollten Nutzer und Website-Betreiber konsequent auf HTTPS-Verbindungen setzen. In Kombination mit HSTS lässt sich das Risiko von SSL-Stripping wirksam ausschalten. Eine technische Erklärung zum Thema SSL-Stripping finden Sie bei Cloudflare.

Diese Auswirkungen hat HSTS auf SEO

Neben den technischen Aspekten lohnt sich auch ein Blick auf die Auswirkungen von HSTS auf SEO. Schließlich ist Suchmaschinenoptimierung heute unverzichtbar, um Ihren Interessenten relevante Ergebnisse zu präsentieren. Durch den Einsatz von HSTS kommen 307-Redirects anstelle von 301-Redirects zum Einsatz. Das fällt Googles Search Console auf, was Ihnen die eine oder andere Warn-E-Mail ins Postfach bringt. Auch SEO-Tools anderer Anbieter werden Sie nach dem Crawling auf die neuen 307-Redirects hinweisen.

Stellt sich die Frage: Sind die eigentlich für temporäre Weiterleitungen gedachten 307-Redirects ein Problem? Ein Blick hinter die Kulissen gibt Entwarnung: Da die Weiterleitung ausschließlich auf Browser-Ebene erfolgt, handelt es sich auf Server-Ebene weiterhin um 301-Redirects. HSTS hat somit keine negativen Auswirkungen auf Ihre SEO-Ergebnisse. Weiterführende Informationen zu HSTS und SEO hat Kinsta zusammengetragen.

Fazit: HSTS gehört zu jeder modernen Website dazu

Nach der Auseinandersetzung mit den technischen Hintergründen von HSTS, HTTPS und SSL empfehlen wir die Implementierung im Header Ihrer Website ausdrücklich. Zum Schutz vor Man-in-the-Middle-Attacken ist HSTS die ideale Lösung. Mit diesem Sicherheitsgewinn bieten Sie Ihren Besuchern ein geschütztes Surf-Erlebnis und sichern sich zugleich gegen Datenpannen und den Diebstahl persönlicher Informationen ab.

Angesichts der Vorteile von HSTS wird schnell klar: Seriöse Websites sollten diese zusätzliche Sicherheitsmaßnahme im Interesse aller Beteiligten umsetzen. Schließlich liegt es im allgemeinen Interesse, Hackern und Erpressern im Internet keine Angriffsfläche zu bieten. HSTS ist dafür das richtige Werkzeug. Damit lassen Sie der modernen Cyberkriminalität auf Ihrer Website keinen Spielraum, um an die Daten Ihrer Mitarbeiter oder Besucher zu gelangen.