Grundlegendes zu HSTS (HTTP Strict Transport Security)

Cloudflare unterstützt HTTP Strict Transport Security (HSTS), um Ihren HTTPS-Webserver vor Man-in-the-Middle-Downgrade-Angriffen wie SSL-Stripping-Angriffen zu schützen.


Überblick

HSTS ist eine Web-Sicherheitstechnologie, die HTTPS-Webserver vor Downgrade-Angriffen schützt. Downgrade-Angriffe (auch als SSL-Stripping-Angriffe bezeichnet) sind eine Art Man-in-the-Middle-Angriff, bei denen ein Angreifer Webbrowser von einem korrekt konfigurierten HTTPS-Webserver auf einen bösartigen Server umleitet.

HSTS besteht aus einem HTTP-Header mit mehreren Parametern, die kompatible Webbrowser anweisen:

  • alle HTTP-Links in HTTPS-Links umzuwandeln und
  • alle Browser-SSL-Warnungen in Fehler aufzuwerten, die zum Anzeigen der Website nicht umgangen werden können.

Lesen Sie die Voraussetzungen, bevor Sie HSTS aktivieren.


Voraussetzungen

Durch Aktivierung von HTTP Strict Transport Security (HSTS) wird die Sicherheit Ihrer Website verbessert. Beachten Sie dabei jedoch Folgendes:

  • Aktivieren Sie HTTPS, bevor HSTS oder Browser Ihre HSTS-Einstellungen nicht akzeptieren können.
  • Sobald HSTS aktiviert ist, muss HTTPS aktiviert bleiben, oder Besucher können nicht auf Ihre Website zugreifen.

HSTS aktivieren

Wenn SSL oder HTTPS deaktiviert ist, während HSTS aktiviert ist, können Besucher für die im Max Age Header angegebene Dauer nicht auf Ihre Website zugreifen. Ist beispielsweise der Max Age Header auf 6 Monate eingestellt und Sie deaktivieren HTTPS 2 Monate nach der Aktivierung von HSTS, können Browser, die Ihre Website besucht haben, während HSTS aktiviert war, Ihre Website weitere 4 Monate nicht besuchen, es sei denn, HTTPS wird wieder aktiviert.

So aktivieren Sie HSTS:

1. Melden Sie sich im Cloudflare-Dashboard an.

2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, für die HSTS erforderlich ist.

3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.

4. Klicken Sie auf die Cloudflare-App SSL/TLS.

5. Klicken Sie im Abschnitt HTTP Strict Transport Security (HSTS) auf HSTS aktivieren.

6. Ein Bestätigungsfenster wird angezeigt. Überprüfen Sie den Inhalt der Warnung.

7. Klicken Sie zum Fortfahren auf Ich verstehe.

8. Klicken Sie auf Weiter.

9. Konfigurieren Sie die für Ihre Domain geeigneten HSTS-Einstellungen.  Konfigurieren Sie mindestens Max Age Header, um HSTS zu aktivieren:

 

Einstellungsname

Beschreibung

Optionen

HSTS (Strict-Transport-Security) aktivieren

Bietet Browsern HSTS-Header für alle HTTPS-Anforderungen.

Aus / Ein

Max. Age Header (max-age)

Gibt an, wie lange ein Browser die HSTS-Richtlinie erzwingt und ob HTTPS ordnungsgemäß für Ihre Website konfiguriert werden muss.

Deaktivieren

oder ein Bereich von 1 bis 12 Monaten

HSTS-Richtlinien auf Subdomains anwenden (includeSubDomains)

Wendet die HSTS-Richtlinie einer übergeordneten Domain (example.com) auf Subdomains (www.development.example.com oder api.example.com) an.

Auf Ihre Subdomains kann nicht mehr zugegriffen werden, wenn sie HTTPS nicht unterstützen.

Aus / Ein

Vorabladen

Ermöglicht Browsern, die HSTS-Konfiguration automatisch vorzuladen. Verhindert, dass ein Angreifer ein Downgrade einer ersten Anforderung von HTTPS auf HTTP durchführt. Ohne Vorabladen wird HSTS erst nach einer ersten erfolgreichen HTTPS-Anforderung festgelegt.

Das Vorabladen kann eine Website ohne HTTPS-Unterstützung völlig unzugänglich machen.

Aus / Ein

No-Sniff-Header

Sendet die X-Content-Type-Optionen: nosniff-Header, um zu verhindern, dass Internet Explorer und Chrome-Browser automatisch einen anderen Inhaltstyp als den im Content-Type-Header angegebenen erkennen.

Aus / Ein

10. Klicken Sie auf Speichern.

Sobald HSTS Preload konfiguriert ist, senden Sie Anfragen zum Hinzufügen zur Preload-Liste jedes Browsers. Chrome, Firefox/Mozilla und Safari verwenden die Chrome-Preload-Liste. Für die Aufnahme in HSTS-Vorladelisten ist ein Max Age Header von mindestens 12 Monaten erforderlich.
Die unten aufgeführten Aktionen deaktivieren HTTPS und müssen vermieden werden, während HSTS aktiviert ist.

Wenn Ihr Ursprungswebserver kein gültiges SSL-Zertifikat hat, das von einer Zertifizierungsstelle bereitgestellt wird, vermeiden Sie die folgenden Aktionen:

Andere zu vermeidende Maßnahmen umfassen

  • Umleiten von HTTPS zu HTTP
  • Hochladen eines falsch konfigurierten benutzerdefinierten SSL-Zertifikats mit:
    • ungültigen SSL-Zertifikaten
    • abgelaufenen Zertifikaten
    • nicht übereinstimmenden Hostnamen

HSTS deaktivieren

Wenn Sie HTTPS entfernen, bevor Sie HSTS deaktivieren oder bevor Sie auf die in Ihrer Cloudflare-HSTS-Konfiguration angegebene Dauer des ursprünglichen Max Age Headers warten, können Besucher für die Dauer des Max Age Headers oder bis Sie HTTPS aktivieren nicht auf Ihre Website zugreifen.

Gehen Sie folgendermaßen vor, um HTTPS in Ihrer Domain zu deaktivieren:

1. Melden Sie sich im Cloudflare-Dashboard an.

2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, für die HSTS nicht länger erforderlich ist.

3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.

4. Klicken Sie auf die Cloudflare-App SSL/TLS.

5. Klicken Sie im Abschnitt HTTP Strict Transport Security (HSTS) auf HSTS aktivieren.

6. Ein Bestätigungsfenster wird angezeigt. Überprüfen Sie den Inhalt der Warnung.

7. Klicken Sie auf Ich verstehe.

8. Klicken Sie auf Weiter.

10. Legen Sie den Max Age Header auf 0 (Deaktivieren) fest


Verwandte Ressourcen

Durchsetzen der Webrichtlinien mit HSTS

 

 

Not finding what you need?

95% of questions can be answered using the search tool. This is the quickest way to get a response.

Powered by Zendesk