Wann und wie kann ich HSTS aktivieren?

HSTS kann über das Kundenmenü über die Domainverwaltung pro (Sub-)Domain aktiviert werden. Voraussetzung ist jedoch ein eigenen SSL-Zertifikat. Um Fehlermeldungen im Browser zu vermeiden, sollte das Zertifikat mit der Domain übereinstimmen.

Es gibt verschiedene Optionen bei der Aktivierung von HSTS.

  • HSTS nur für die Domain aktivieren: Aktiviert die Option  lediglich für die Domain, was wir nicht empfehlen. Diese Option ist zwar ein guter Schritt bringt aber grundsätzlich noch keine vollständige Sicherheit. Sie sind doch eine sog. SSLStrip Attacke angreifbar. Nutzen Sie diese Funktion nur, wenn Sie bei einer Subdomain keine SSL Verschlüsselung anbieten können und sichern Sie alle anderen Subdomains expliziet mit HSTS ab.
  • HSTS mit includeSubdomain: Hier wird HSTS bei der Domain aktiviert und auch die Subdomains werden mit dieser Funktion geschützt. Ein Angriff scheitert da Subdomains ebenfalls auf SSL umgeschaltet werden.
  • HSTS Preload: Hier wird alles vorbereitet, dass Sie die Domain in die Preload Liste eintragen können. Auch wird die notwendige Rewrite Rule eingetragen. HSTS Preload können sie nur auf der Hauptdomain eintragen.

Zuletzt aktualisiert am 2018-02-25 von Tobias Bauer.

Zurück