Cloudflare unterstützt HTTP Strict Transport Security (HSTS), um Ihren HTTPS-Webserver vor Man-in-the-Middle-Downgrade-Angriffen wie SSL-Stripping-Angriffen zu schützen.
Überblick
HSTS ist eine Web-Sicherheitstechnologie, die HTTPS-Webserver vor Downgrade-Angriffen schützt. Downgrade-Angriffe (auch als SSL-Stripping-Angriffe bezeichnet) sind eine Art Man-in-the-Middle-Angriff, bei denen ein Angreifer Webbrowser von einem korrekt konfigurierten HTTPS-Webserver auf einen bösartigen Server umleitet.
HSTS besteht aus einem HTTP-Header mit mehreren Parametern, die kompatible Webbrowser anweisen:
- alle HTTP-Links in HTTPS-Links umzuwandeln und
- alle Browser-SSL-Warnungen in Fehler aufzuwerten, die zum Anzeigen der Website nicht umgangen werden können.
Lesen Sie die Voraussetzungen, bevor Sie HSTS aktivieren.
Voraussetzungen
Durch Aktivierung von HTTP Strict Transport Security (HSTS) wird die Sicherheit Ihrer Website verbessert. Beachten Sie dabei jedoch Folgendes:
- Aktivieren Sie HTTPS, bevor HSTS oder Browser Ihre HSTS-Einstellungen nicht akzeptieren können.
- Sobald HSTS aktiviert ist, muss HTTPS aktiviert bleiben, oder Besucher können nicht auf Ihre Website zugreifen.
HSTS aktivieren
So aktivieren Sie HSTS:
1. Melden Sie sich im Cloudflare-Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, für die HSTS erforderlich ist.
3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.
4. Klicken Sie auf die Cloudflare-App SSL/TLS.
5. Klicken Sie im Abschnitt HTTP Strict Transport Security (HSTS) auf HSTS aktivieren.
6. Ein Bestätigungsfenster wird angezeigt. Überprüfen Sie den Inhalt der Warnung.
7. Klicken Sie zum Fortfahren auf Ich verstehe.
8. Klicken Sie auf Weiter.
9. Konfigurieren Sie die für Ihre Domain geeigneten HSTS-Einstellungen. Konfigurieren Sie mindestens Max Age Header, um HSTS zu aktivieren:
Einstellungsname | Beschreibung | Optionen |
HSTS (Strict-Transport-Security) aktivieren | Bietet Browsern HSTS-Header für alle HTTPS-Anforderungen. | Aus / Ein |
Max. Age Header (max-age) | Gibt an, wie lange ein Browser die HSTS-Richtlinie erzwingt und ob HTTPS ordnungsgemäß für Ihre Website konfiguriert werden muss. | Deaktivieren oder ein Bereich von 1 bis 12 Monaten |
HSTS-Richtlinien auf Subdomains anwenden (includeSubDomains) | Wendet die HSTS-Richtlinie einer übergeordneten Domain (example.com) auf Subdomains (www.development.example.com oder api.example.com) an. | Aus / Ein |
Vorabladen | Ermöglicht Browsern, die HSTS-Konfiguration automatisch vorzuladen. Verhindert, dass ein Angreifer ein Downgrade einer ersten Anforderung von HTTPS auf HTTP durchführt. Ohne Vorabladen wird HSTS erst nach einer ersten erfolgreichen HTTPS-Anforderung festgelegt. | Aus / Ein |
No-Sniff-Header | Sendet die X-Content-Type-Optionen: nosniff-Header, um zu verhindern, dass Internet Explorer und Chrome-Browser automatisch einen anderen Inhaltstyp als den im Content-Type-Header angegebenen erkennen. | Aus / Ein |
10. Klicken Sie auf Speichern.
Wenn Ihr Ursprungswebserver kein gültiges SSL-Zertifikat hat, das von einer Zertifizierungsstelle bereitgestellt wird, vermeiden Sie die folgenden Aktionen:
- Markierung der Domain mit einer grauen Wolke über die Cloudflare-App DNS
- Anhalten des Cloudflare-Service über die Cloudflare-App Übersicht
- Von Cloudflare wegzeigende Nameserver
Andere zu vermeidende Maßnahmen umfassen
- Umleiten von HTTPS zu HTTP
- Hochladen eines falsch konfigurierten benutzerdefinierten SSL-Zertifikats mit:
- ungültigen SSL-Zertifikaten
- abgelaufenen Zertifikaten
- nicht übereinstimmenden Hostnamen
HSTS deaktivieren
Gehen Sie folgendermaßen vor, um HTTPS in Ihrer Domain zu deaktivieren:
1. Melden Sie sich im Cloudflare-Dashboard an.
2. Klicken Sie auf das entsprechende Cloudflare-Konto für die Domain, für die HSTS nicht länger erforderlich ist.
3. Stellen Sie sicher, dass die richtige Domain ausgewählt ist.
4. Klicken Sie auf die Cloudflare-App SSL/TLS.
5. Klicken Sie im Abschnitt HTTP Strict Transport Security (HSTS) auf HSTS aktivieren.
6. Ein Bestätigungsfenster wird angezeigt. Überprüfen Sie den Inhalt der Warnung.
7. Klicken Sie auf Ich verstehe.
8. Klicken Sie auf Weiter.
10. Legen Sie den Max Age Header auf 0 (Deaktivieren) fest
Verwandte Ressourcen
Durchsetzen der Webrichtlinien mit HSTS