Wat is HSTS?

STRICT-TRANSPORT-SECURITY

HSTS (HTTP Strict Transport Security) is eigenlijk niks meer als een automatische upgrade naar HTTPS. Als HSTS aan staat voor een server of domeinnaam, zal al het webverkeer over deze domeinnaam upgradede worden naar HTTPS. Dat scheelt individuele aanpassingen in code voor bijvoorbeeld scripts of plaatjes.

Het instellen van HSTS gebeurt via een .htaccess-bestand of HTTPD-configuratie. Dat gebeurt met de volgende regel:

Header set Strict-Transport-Security "max-age=31536000; includeSubdomains;" env=HTTPS

De max-age is het aantal seconden dat deze informatie door de browser vastgehouden wordt. Geadviseerd wordt om deze in te stellen op 31536000 (1 jaar) maar in ieder geval hoger te zetten dan 10368000 (120 dagen).

Door includeSubdomains mee te geven in de header, geeft de server aan dat er niet alleen voor het hoofddomein de upgrade naar HTTPS plaats moet vinden, maar ook voor alle subdomeinen.

39 of 108 people found this helpful.   


Powered by LiveZilla Live Chat Software