HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Eine Regel, die Ihre Website an Browser sendet und besagt „verbinde dich immer sicher mit mir“ — sie schließt eine Lücke, die Angreifer ausnutzen, um den allerersten, ungeschützten Besuch abzufangen.

Was es ist

HSTS steht für HTTP Strict Transport Security. Es ist eine kurze Anweisung, die Ihre Website beim ersten Verbindungsaufbau an den Browser eines Besuchers sendet und besagt: „Verbinde dich ab jetzt nur noch sicher mit mir — niemals über eine ungeschützte Verbindung.“ Der Browser merkt sich das und setzt es bei jedem künftigen Besuch automatisch durch.

Warum es für Ihr Unternehmen wichtig ist

Selbst wenn Ihre Website ein gültiges Zertifikat hat, steckt ein Quäntchen Risiko in genau dieser allerersten Verbindung — bevor die sichere Version greift. Ein Angreifer im selben Netzwerk kann diesen Moment ausnutzen, um einen Besucher unbemerkt auf eine gefälschte oder ungeschützte Kopie Ihrer Website umzuleiten und abzugreifen, was er eintippt.

HSTS schließt diese Lücke. Sobald einem Browser die Regel mitgeteilt wurde, weigert er sich gänzlich, sich unsicher zu verbinden — es gibt kein Zeitfenster mehr, durch das der Angreifer schlüpfen könnte. Für Ihre Kunden ist das unsichtbar; für Sie ist es eine stille, einmalige Härtung, die jeden weiteren Besuch schützt.

Woran Sie es erkennen / was zu tun ist

Unser kostenloser Checker sagt Ihnen, ob HSTS für Ihre Website aktiviert ist. Ist es das nicht, erklärt die HSTS-Anleitung, wie Sie es sicher einschalten — es ist eine kleine Einstellung, die von Ihrem Website-Verantwortlichen hinzugefügt wird, und sie ist kostenlos. (Sie sollte am besten erst aktiviert werden, wenn Ihre Website bereits vollständig über eine sichere Verbindung funktioniert, was die Anleitung behandelt.)

Want to fix this on your own domain? See the free guide →