Deine Webseite läuft über HTTPS, das Zertifikat ist gültig, die Weiterleitung von http auf https steht. Trotzdem bleibt eine kleine Lücke offen, die kaum jemand auf dem Schirm hat: die allererste Anfrage.
Tippt jemand Deine Adresse ohne https:// ein, schickt der Browser diesen ersten Aufruf unverschlüsselt los. Erst danach kommt Deine Weiterleitung und schiebt ihn auf die sichere Variante. In genau diesem Moment dazwischen kann ein Angreifer mitlesen oder umleiten.
HSTS schließt diese Lücke. Der Browser merkt sich, dass Deine Seite ausschließlich verschlüsselt erreichbar ist, und spricht von da an nie wieder unverschlüsselt mit ihr. Dieser Beitrag zeigt Dir, wie das wirkt und worauf Du vor dem Scharfschalten achtest.
Die Lücke der ersten Verbindung
Eine Weiterleitung von http auf https löst das Problem nur scheinbar. Sie greift erst, nachdem die unsichere Anfrage bereits über das Netz gelaufen ist. Wer im selben WLAN sitzt oder einen Knotenpunkt kontrolliert, sieht diese erste Anfrage und kann antworten, bevor Dein Server überhaupt zum Zug kommt.
Diese Angriffsform hat einen Namen: SSL-Stripping. Der Angreifer fängt die ungesicherte Erstanfrage ab und hält das Opfer dauerhaft auf der unverschlüsselten Verbindung fest, während er selbst sauber verschlüsselt mit Deinem Server spricht. Das Schloss im Browser des Opfers erscheint dann gar nicht, fällt aber im Alltag oft nicht auf.
Besonders real wird das in offenen Netzen. Wie heikel die Lage im Café-WLAN ist, beschreibt der Beitrag zu sicherem Surfen im öffentlichen WLAN ausführlicher. Genau dort spielt HSTS seinen Schutz aus.
Was HSTS dem Browser sagt
HSTS steht für HTTP Strict Transport Security. Es ist eine kleine Anweisung, die Dein Server bei jedem Aufruf mitschickt. Sie teilt dem Browser mit, dass er Deine Domain ab sofort nur noch verschlüsselt kontaktieren darf, und zwar für eine festgelegte Dauer.
Der Browser speichert diese Regel lokal. Ruft derselbe Besucher Deine Seite später erneut auf, wandelt der Browser jeden Versuch über http intern in https um, noch bevor irgendeine Anfrage das Gerät verlässt. Die unsichere Erstanfrage entfällt damit komplett.
HSTS gehört zur Familie der Schutz-Anweisungen, die im Beitrag zu Security-Headern im Überblick stehen. Hier schauen wir uns diesen einen genauer an, weil er beim Scharfschalten mehr Sorgfalt verlangt als die anderen.
Die drei Stellschrauben
HSTS hat drei Bestandteile, die Du kennen solltest, bevor Du Deinem Hoster sagst, was Du willst. Du schreibst sie nicht selbst, aber Du entscheidest mit.
- Gültigkeitsdauer: Wie lange der Browser sich die Regel merkt. Üblich ist ein Jahr. Frische Browser-Besuche verlängern die Frist automatisch.
- Subdomains einschließen: Ob die Regel auch für
shop.deine-domain.deoderblog.deine-domain.degilt. Das ist mächtig und genau deshalb mit Bedacht zu wählen. - Preload: Die Eintragung in eine Liste, die direkt in den Browsern steckt. Damit greift der Schutz sogar beim allerersten Besuch eines fremden Geräts.
Die ersten beiden Schrauben sind reversibel. Du stellst die Dauer zunächst niedrig und drehst sie hoch, wenn alles stabil läuft. Die dritte verdient einen eigenen Abschnitt, weil sie eine andere Liga ist.
Preload ist eine Einbahnstraße
Die Preload-Liste wird direkt mit den großen Browsern ausgeliefert. Steht Deine Domain dort, erzwingen Chrome, Firefox und Safari die Verschlüsselung schon beim ersten Kontakt, ohne dass ein Server je geantwortet hätte. Das ist der stärkste Schutz, den HSTS bietet.
Der Haken liegt im Zurück. Eine Aufnahme in die Liste ist schnell beantragt, das Entfernen dauert Wochen bis Monate, weil die geänderte Liste erst mit dem nächsten Browser-Update bei allen Nutzern ankommt. Wenn in dieser Zeit eine Subdomain ohne gültiges Zertifikat dasteht, ist sie für Deine Besucher schlicht nicht erreichbar.
Beantrage Preload deshalb erst, wenn jede Subdomain dauerhaft sauber über HTTPS läuft und Du sicher bist, dass das auch so bleibt. Für viele kleine Seiten ist die einfache HSTS-Variante ohne Preload bereits ein großer Sicherheitsgewinn und völlig ausreichend.
Was vor dem Scharfschalten stehen muss
HSTS verzeiht nichts. Sobald ein Browser die Regel gespeichert hat, gibt es keinen Notausgang über die unverschlüsselte Variante mehr. Läuft danach irgendetwas nur über http, ist es für wiederkehrende Besucher unsichtbar. Diese Punkte gehören vorher geprüft.
- HTTPS überall: Jede Seite, jedes Formular, jede Subdomain liefert sauber verschlüsselt aus. Keine Ausnahme bleibt übrig.
- Zertifikat mit Auto-Verlängerung: Ein ablaufendes Zertifikat würde unter HSTS die ganze Seite blockieren. Die automatische Erneuerung muss zuverlässig stehen.
- Keine gemischten Inhalte: Bilder, Schriften oder Skripte über
httpbrechen die sichere Verbindung. Wie Du solche Reste findest, zeigt der Beitrag zum Beheben von Mixed Content.
Erst wenn diese drei Punkte stehen, gibst Du das Signal zum Scharfschalten. Vorher würdest Du Dich selbst aussperren, und das Zurücknehmen kostet Geduld.
Den Schutz beauftragen und prüfen
Du richtest HSTS nicht von Hand ein. Die Anweisung gehört in die Server-Konfiguration, und genau dort übernimmt Dein Hoster oder Deine Agentur. Deine Aufgabe ist es, klar zu benennen, was Du brauchst.
Sag Deinem Hoster, dass Du HSTS mit einer zunächst kurzen Gültigkeit von wenigen Stunden setzen lassen willst, ohne Subdomains und ohne Preload. So testest Du gefahrlos. Läuft alles stabil, erhöhst Du die Dauer auf ein Jahr und entscheidest dann über die weiteren Stufen.
Ob der Schutz aktiv ist, prüfst Du mit einem kostenlosen Online-Test, der die Schutz-Anweisungen Deiner Seite ausliest, etwa dem Mozilla Observatory oder dem SSL Labs Test. Beide zeigen Dir auf einen Blick, ob HSTS greift. Das Verständnis dahinter, also wie Zertifikat und verschlüsselte Verbindung überhaupt zusammenspielen, liefert der Beitrag zu HTTPS und TLS.
Fazit — die letzte Meile zur sicheren Verbindung
HTTPS bringt die Verschlüsselung, lässt aber die erste Anfrage als Schlupfloch offen. HSTS macht aus der freundlichen Empfehlung eine verbindliche Regel und schließt damit die Lücke, durch die SSL-Stripping schlüpft.
Geh es ruhig und in kleinen Stufen an. Erst HTTPS lückenlos, dann HSTS mit kurzer Dauer zum Testen, danach die volle Frist und erst zum Schluss, wenn überhaupt, der Schritt zu Preload. So gewinnst Du echten Schutz, ohne Dich versehentlich auszusperren.