← Alle Guides
🔒 HTTP Security Headers

HSTS Header (Strict-Transport-Security) setzen

HSTS zwingt den Browser, nur HTTPS-Verbindungen zu verwenden. Ohne HSTS kann ein Angreifer den Datenverkehr ueber HTTP umleiten (SSL-Stripping / Downgrade-Angriff).
Risiko: Man-in-the-Middle-Angriffe: Ein Angreifer im gleichen Netzwerk kann HTTPS auf HTTP downgraden und den gesamten Datenverkehr mitlesen.

Apache (.htaccess oder VHost)

# In .htaccess oder Apache VHost-Config:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

# Apache-Modul aktivieren (falls noetig):
sudo a2enmod headers
sudo systemctl restart apache2

Nginx

# In der server{} Block-Konfiguration (nur im HTTPS-Block!):
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

IIS (web.config)

<system.webServer>
  <httpProtocol>
    <customHeaders>
      <add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload" />
    </customHeaders>
  </httpProtocol>
</system.webServer>

Referenzen & weiterführende Links

HSTS Preload List MDN: Strict-Transport-Security OWASP: HTTP Strict Transport Security