https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=HTTP_Strict_Transport_SecurityHTTP Strict Transport Security - Versionsgeschichte2026-05-21T18:22:21ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=HTTP_Strict_Transport_Security&diff=2793525&oldid=previmported>Trustable: Kleinigkeiten verbessert2026-04-07T19:18:39Z<p>Kleinigkeiten verbessert</p>
<p><b>Neue Seite</b></p><div>'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch einen [[Downgrade-Angriff]] als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang|en|[[Hypertext Transfer Protocol|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.<br />
<br />
Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der Browser die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name="preloading_hsts_mozillla">[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.org/ HSTS preload submission].</ref><br />
<br />
== Geschichte ==<br />
Der Standard wurde 2012 von der [[Internet Engineering Task Force|IETF]] als <nowiki>RFC&nbsp;6797</nowiki><ref>{{RFC-Internet |RFC=6797 |Titel=HTTP Strict Transport Security (HSTS) |Datum=2012-11 |Autor=Jeff Hodges, Collin Jackson, Adam Barth}}</ref> veröffentlicht<ref name="heise2012">{{Internetquelle |autor=Reiko Kaps |url=https://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html |titel=HTTP Strict Transport Security als Internet-Standard |werk=[[Heise online|Heise]] Online |datum=2012-11-21 |abruf=2015-10-25}}</ref> und wird unter anderem von den jüngsten Versionen der gängigen [[Webbrowser]] unterstützt.<ref>Vgl. Übersicht im Abschnitt ''Browser compatibility'' des Eintrags [https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security#Browser_compatibility HTTP Strict Transport Security] im Mozilla Developer Forum.</ref> Anlass für die Entwicklung waren von [[Moxie Marlinspike]] 2009 demonstrierte Attacken auf verschlüsselte Verbindungen durch [[Man-in-the-Middle-Angriff]]e, die sich bereits vor Zustandekommen einer verschlüsselten Verbindung dazwischen schalten.<ref name="heise2012" /><br />
<br />
== Funktionsweise ==<br />
Um HSTS anzuwenden, müssen sich sowohl der Server als auch die Browser der Anwender entsprechend der Vorgabe verhalten.<br />
<br />
=== Server ===<br />
Der Server versendet bei HTTPS-Verbindungen einen zusätzlichen Header mit der Information, dass die angeforderte Seite in der Zukunft nur über eine verschlüsselte Verbindung verfügbar ist. Dieser Header muss dann vom Browser des Anwenders entsprechend interpretiert werden. Der Header ist <code>Strict-Transport-Security</code>. Außerdem wird angegeben, wie lange die Seite in Zukunft verschlüsselt erreichbar sein wird. Diese Zeitspanne wird in Sekunden angegeben. So weist der Header<br />
<br />
<code>Strict-Transport-Security: max-age=31536000</code><br />
<br />
den Browser des Anwenders an, für die Dauer eines Jahres nur verschlüsselte Verbindungen zu dieser Seite aufzubauen.<br />
<br />
=== Browser ===<br />
Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen Gültigkeit folgendermaßen verhalten:<ref name="RFC6797-5">{{RFC-Internet |RFC=6797 |Titel=HTTP Strict Transport Security (HSTS) |Datum=2012-11 |Autor=Jeff Hodges, Collin Jackson, Adam Barth |Abschnitt=5 |Abschnittstitel=HSTS Mechanism Overview}}</ref><br />
* Alle unverschlüsselten Links zu dieser Seite werden automatisch in verschlüsselte umgewandelt: <code><nowiki>http://example.org/bild.jpg</nowiki></code> wird zu <code><nowiki>https://example.org/bild.jpg</nowiki></code><br />
* Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann, z.&nbsp;B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer hat dann keine Möglichkeit mehr, die Seite mit dem Browser aufzurufen.<br />
<br />
Wird ein HSTS-Header über eine unverschlüsselte Verbindung übertragen oder ist das Zertifikat der Verbindung nicht gültig, muss der Browser diesen ignorieren.<br />
<br />
== Browser-Unterstützung ==<br />
Folgende Browser unterstützen seit der angegebenen Versionsnummer den HSTS-Standard (in Reihenfolge der Erstveröffentlichung):<ref name="mdn-security">{{Internetquelle |url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#browser_compatibility |titel=Strict-Transport-Security |hrsg=MDN |datum=2012-11 |sprache=en |abruf=2023-03-26}}</ref><br />
* [[Chromium (Browser)|Chromium]] und [[Google Chrome]] ab Version 4 – veröffentlicht: 25. Januar 2010<br />
* [[Firefox]] ab Version 4 – veröffentlicht: 22. März 2011<ref name="firefox-4-release-notes">{{Internetquelle |url=https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/ |titel=Firefox 4 Release Notes |hrsg=Mozilla |datum=2011-03 |sprache=en |abruf=2023-03-26}}</ref><br />
* [[Opera (Browser)|Opera]] ab Version 12 – veröffentlicht: 14. Juni 2012<ref name="opera_presto">{{Internetquelle |url=http://www.opera.com/docs/specs/presto2.10/#m210-244 |titel=Web specifications support in Opera Presto 2.10 |hrsg=Opera Software ASA |datum=2012-04-23 |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20180620002005/https://www.opera.com/docs/specs/presto2.10/#m210-244 |archiv-datum=2018-06-20 |abruf=2012-05-08}}</ref><br />
* [[Safari (Browser)|Safari]] ab Version 7 auf [[OS X Mavericks]] – veröffentlicht: 22. Oktober 2013<br />
* [[Internet Explorer 11]] auf [[Windows 8.1]] und [[Windows&nbsp;7]] mit dem Update-Paket KB3058515 – veröffentlicht: 9. Juli 2015<ref>{{Internetquelle |url=http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ |titel=HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7 |werk=windows.com |sprache=en |offline=1 |archiv-url=https://web.archive.org/web/20191127121246/https://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ |archiv-datum=2019-11-27 |abruf=2015-06-12}}</ref><br />
* [[Microsoft Edge]] ab Version 12 auf [[Windows 10]] – veröffentlicht: 28. Juli 2015<br />
<br />
== Kritik ==<br />
Die Speicherung der HSTS-Informationen durch den Client lässt sich für ein [[Nutzerverfolgung|Tracking]] von Benutzern ausnutzen. Besonders kritisch wurde in diesem Zusammenhang diskutiert, dass [[Google Chrome]] die HSTS-Informationen auch in den für besonderen Datenschutz ausgelegten Inkognito-Modus übernahm.<ref>{{Internetquelle |autor=Ronald Eikenberg |url=https://www.heise.de/security/artikel/Security-Funktion-HSTS-als-Supercookie-2511258.html |titel=Security-Funktion HSTS als Supercookie |werk=[[Heise online|Heise]] – Security |datum=2015-01-06 |abruf=2015-10-25}}</ref> Stand 2018 war das Problem für gängige Browser nicht mehr gegeben.<ref>Varun Patil: [https://github.com/pulsejet/HSTS-SuperCookie HSTS-SuperCookie.] github</ref><br />
<br />
== Verwandte Protokolle ==<br />
Was HSTS für HTTP(S)-Verbindungen leistet, soll [[STARTTLS#MTA-STS|MTA-STS]] (''SMTP MTA Strict Transport Security'')<ref>{{RFC-Internet |RFC=8461 |Titel=SMTP MTA Strict Transport Security (MTA-STS) |Datum=2018-09}}</ref> für [[Mailserver]] bzw. [[Simple Mail Transfer Protocol|SMTP]] bieten.<ref>{{Internetquelle |autor=Jürgen Schmidt |url=https://www.heise.de/security/meldung/Zwangsverschluesselung-fuer-E-Mail-Transport-4177168.html |titel=Zwangsverschlüsselung für E-Mail-Transport |werk=[[heise online]] |datum=2018-09-28 |abruf=2021-09-03}}</ref><br />
<br />
== Weblinks ==<br />
* [https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security HTTP Strict Transport Security.] [[MDN Web Docs]] (englisch)<br />
* [https://www.owasp.org/index.php/HTTP_Strict_Transport_Security HTTP Strict Transport Security.] OWASP – [[Open Web Application Security Project]] (englisch)<br />
* {{RFC-Internet |RFC=6797 |Titel=HTTP Strict Transport Security (HSTS) |Datum=2012-11 |Autor=Jeff Hodges, Collin Jackson, Adam Barth}}<br />
<br />
== Einzelnachweise ==<br />
<references /><br />
<br />
[[Kategorie:HTTP]]</div>imported>Trustable