HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Een regel die uw site naar browsers stuurt en die zegt «verbind altijd veilig met mij» — waarmee een gat wordt gedicht dat aanvallers gebruiken om dat eerste, onbeschermde bezoek te onderscheppen.

Wat het is

HSTS staat voor HTTP Strict Transport Security. Het is een korte instructie die uw website naar de browser van een bezoeker stuurt zodra die voor het eerst verbinding maakt, en die zegt: «Verbind voortaan uitsluitend veilig met mij — nooit meer over een onbeschermde verbinding.» De browser onthoudt dit en dwingt het bij elk volgend bezoek automatisch af.

Waarom het belangrijk is voor uw bedrijf

Zelfs als uw site een geldig certificaat heeft, schuilt er een sprankje risico in die allereerste verbinding — vóórdat de veilige versie aanslaat. Een aanvaller op hetzelfde netwerk kan dat moment misbruiken om een bezoeker stilletjes naar een nep- of onbeschermde kopie van uw site te leiden en vast te leggen wat die intypt.

HSTS verwijdert dat gat. Zodra een browser de regel kent, weigert hij volledig om onveilig verbinding te maken — er is geen kier waar de aanvaller doorheen kan glippen. Voor uw klanten is het onzichtbaar; voor u is het een rustige eenmalige verstevigingsmaatregel die elk vervolgbezoek beschermt.

Hoe u het herkent / wat u kunt doen

Onze gratis checker vertelt u of HSTS voor uw site is ingeschakeld. Als dat niet zo is, legt de HSTS-herstelgids uit hoe u het veilig aanzet — het is een kleine instelling die wordt toegevoegd door wie ook uw website beheert, en het is gratis. (U zet het het best pas aan zodra uw site al volledig over een veilige verbinding werkt; de gids behandelt dat.)

Want to fix this on your own domain? See the free guide →