Wat is HSTS en hoe kan het geactiveerd worden?

HSTS (HTTP Strict Transport Security) is een webbeveiligingsmechanisme dat websites helpt te beschermen tegen "downgrade protocol" en "cookie hijacking" aanvallen. Door HSTS te gebruiken, informeert de webserver webbrowsers dat op sites waar dit mechanisme is ingeschakeld, de verbinding alleen via HTTPS moet plaatsvinden en nooit via HTTP, waarbij verzoeken die via HTTP worden gedaan, worden genegeerd.

Omdat bij de eerste verbinding van een webclient met een site nog niet bekend is of de verbinding via HTTP of HTTPS zal plaatsvinden en er op instructies van de webserver wordt gewacht, bestaat er nog steeds de mogelijkheid van onderschepping van de communicatie. Om ook dit risico te elimineren, kan na activatie van HSTS het domein worden opgenomen in de "voor-afgeladen" lijst. Hierdoor zal de domeinnaam in de webbrowser worden ingevoerd als werkend alleen op HTTPS.

Aandacht: Nadat het aan de "voor-laden" lijst is toegevoegd, zal de website niet langer functioneren op HTTP, maar alleen op HTTPS.

Meer details over de "preloading" lijsten en het toevoegen of verwijderen van een domein uit deze lijsten zijn te lezen op: https://hstspreload.org/.

Voorbeeld van HSTS-implementatie in het .htaccess-bestand van de Apache-webserver:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"