HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) is een serverinstelling die het gebruik van een veilige verbinding afdwingt. HSTS vertelt een browser om een website voortaan alleen via HTTPS te bezoeken.

Bij gebruik van HSTS wordt door de browser gecontroleerd of er verbinding wordt gemaakt met een door SSL beveiligde pagina. Als dit niet het geval is worden bezoekers van een website automatisch doorgestuurd van http naar https en dus naar de beveiligde versie van de website. Indien er geen beveiligde verbinding mogelijk is krijgt de bezoeker een foutmelding te zien, en wordt de verbinding geweigerd. Het gebruik van HSTS kan 'man in the middle' aanvallen voorkomen, omdat een website op deze wijze niet omgeleid kan worden naar een onbeveiligde pagina. Ondanks de toegevoegde waarde blijkt uit cijfers van Netcraft dat in januari 2016 slechts 4,4% van de certificaten deze optie gebruikt.

Om gebruik te maken van HSTS worden alle onbeveiligde verbindingen eerst omgeleid naar een beveiligde verbinding, vervolgens wordt de browser door middel van een HSTS header geinstrueerd in het vervolg alleen nog via HTTPS verbinding te maken met het domein in kwestie. In de header wordt direct aangegeven hoe lang de instructie bewaard moet worden door middel van een 'max-age' setting, tevens bestaat de mogelijkheid in de header op te geven of de instelling ook geldig is voor subdomeinen. Als een website HSTS gebruikt, zal een bezoeker na het eerste bezoek de website altijd via HTTPS bezoeken. Dit voorkomt dat mogelijke aanvallers verkeer kunnen omleiden via HTTP.

Het nadeel van HSTS is dat het nog niet door alle browsers wordt ondersteund; het werkt bijvoorbeeld nog niet voor Internet Explorer en Safari.

Ondersteuning

Browser Ondersteuning vanaf versie
Internet Explorer Verwacht vanaf V.12
Opera 12
Firefox 4
Safari Mavericks (OSX 10.9)
Chrome 4.0.211.0

 
HSTS instellen

Het instelen van HSTS verschilt per type webserver:

 

 

 

 

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.