HSTS: Das sollten Sie über die HTTPS-Erweiterung wissen

Was ist HSTS?

Der Schutz der eigenen Sicherheit hat sich in den letzten Jahren stark ins Internet verlagert. Dort gilt es darauf zu achten, sensible Daten und wichtige Informationen lediglich mit sicheren Verbindungen bereitzustellen. Diesen Standard garantiert Ihnen HSTS auf modernen Websites. Die Abkürzung steht für „HTTP Strict Transport Security“, was als Sicherheitsheader bei der Abfrage einer Website den Browser zu einer sicheren Verbindung zwingt. Der HSTS wird im technischen Kontext von OWASP als Security Update beschrieben.

In unserem Beitrag erklären wir Ihnen, welche Fakten Sie zu HSTS wissen müssen und wie Sie als Betreiber einer Website den maximalen Sicherheitsumfang für Ihre Besucher gewährleisten können. Außerdem klären wir die Frage, was HSTS mit HTTPS zu tun hat. Hierzu schauen wir uns die Protokolle, Zertifikate und technischen Hintergründe einmal genau an und beantworten die Frage, ob Sie als Betreiber auch heutzutage noch machtlos gegen SSL-Stripping sind.

HTTPS-Erweiterung mit HSTS

Um zu verstehen, welchen Nutzen HSTS Ihnen bringt, schauen wir uns den Zusammenhang zu HTTPS an. Bei dieser sicheren Verbindung werden Ihre Daten während der Kommunikation mit der Website verschlüsselt. Das erschwert Dritten den Zugriff auf Ihre Daten sowie das Abgreifen von Informationen. HSTS kann nun serverseitig vom Betreiber einer Website aktiviert werden, was die sichere Verbindung über HTTPS in jedem Fall erzwingt.

Alternativ würde ein 301-Redirect nicht ausreichen, um eine Man-in-the-Middle-Attacke abzuhalten. Hierbei könne eine unbefugte dritte Person die Kommunikation zwischen Ihnen und der Website mitlesen und beeinflussen, indem die Weiterleitung zu HTTPS unterbrochen wird. Diese Unterbrechung verhindert HSTS, indem HTTPS zwingend provoziert wird. Generell weist Google bereits seit einigen Jahren auf die Sicherheit von Websites hin, indem eine Warnung vor dem Aufruf von nicht verschlüsselten Websites erscheint.

SSL-Stripping: so gefährlich ist es heute

Während wir uns mit den sicherheitsrelevanten Funktionen von Websites und Protokollen befassen, sollte das SSL-Stripping nicht unerwähnt bleiben. Bei dieser Methode werden mittels eines Proxy SSL geschützte Login Pfade gesucht, auf welchen das Zertifikat durch eine modifizierte Version ausgehebelt wird. Das hat zur Folge, dass ein Benutzer die vermeidlich durch SSL geschützte Website aufruft und seine Login Daten unverschlüsselt im Klartext verschickt. Diese können daraufhin von einem Man-in-the-Middle mitgelesen werden.

Bereits vor knapp 20 Jahren stellte SSL-Stripping eine Möglichkeit dar, die Informationen von Besuchern abzufangen und Cookies mit sensiblen Daten unverschlüsselt zu erhalten. Einmal implementiert, erkennen weder der Benutzer noch der Server einen SSL-Strip. Beide gehen von einer sicheren Verbindung untereinander aus, was beim Versand der Daten nicht hinterfragt wird. Um sich zu schützen, sollten Nutzer und Betreiber von Websites in jedem Fall auf HTTPS Verbindungen setzen. In Kombination mit HSTS kann so das Risiko von SSL-Stripping verhindert werden. Eine technische Erklärung zum Thema SSL-Stripping wurde von Cloudflare beschrieben.

Diese Auswirkungen hat HSTS auf SEO

Neben den technischen Einflüssen möchten wir Ihnen nun noch die Auswirkung von HSTS auf SEO aufzeigen. Schließlich ist die Suchmaschinenoptimierung in unserer Zeit nicht mehr wegzudenken, um seinen Interessenten relevante Ergebnisse zu präsentieren. Mit der Einbindung von HSTS werden nun 307-Redirects anstelle von 301-Redirects benutzt. Das lässt Googles Search Console hellhörig werden, was Ihnen die eine oder andere E-Mail samt Warnung ins Postfach bringt. Auch SEO Tools von weiteren Anbietern werden Sie nach dem Crawling darauf hinweisen, dass neue 307-Redirects erkannt wurden.

Die Frage stellt sich nun, ob die eigentlich für kurzweilige Weiterleitungen verwendeten 307-Redirects eine schlechte Alternative sind. Entwarnung gibt ein kurzer Blick hinter die Kulissen: da lediglich auf Ebene des Browsers weitergeleitet wird, handelt es sich in Wirklichkeit auf Ebene des Servers weiterhin um 301-Redirects. Damit zeigt sich, dass HSTS keine negative Auswirkung auf Ihre SEO-Ergebnisse hat. Tiefergehede Informationen über HSTS und SEO wurden von kinsta zusammengetragen.

Fazit: HSTS gehört zu jeder modernen Website dazu

Nachdem wir uns nun mit den technischen Hintergründen von HSTS in Verbindung mit HTTPS und SSL auseinandergesetzt haben, können wir eine Implementierung im Head Ihrer Website nur wärmstens empfehlen. Um Man-in-the-Middle-Attacken zu vermeiden, eignet sich HSTS ideal. Mit diesem Zuwachs an Sicherheit können Sie Ihren Besuchern ein besseres Surfen auf Ihrer Website ermöglichen. Außerdem sichern Sie sich gegen Datenpannen und den Diebstahl persönlicher Informationen ab.

Betrachten wir die Vorteile von HSTS wird daher schnell klar, dass seriöse Websites diese Extrameile für die Sicherheit aller Beteiligten gehen sollten. Immerhin ist es im allgemeinen Interesse, Hackern und Erpressern im Internet keine Chance zu lassen. HSTS ist hierfür genau das richtige Werkzeug, um bei diesem Schritt mit moralischer Initiative voranzugehen. Der modernen Cyberkriminalität lassen Sie auf Ihrer Website mit HSTS keinen Freiraum, um an die Daten Ihrer Mitarbeiter oder Besucher zu kommen.