HSTS aktivieren - MetricSpot Docs

Q: Welche max-age soll ich nutzen?

Starte mit max-age=300 (5 Minuten) während des Tests, dann eskaliere auf 31536000 (ein Jahr). HSTS Preload erfordert mindestens ein Jahr.

Q: Was, wenn ich keine Kontrolle über Subdomains habe?

Lass includeSubDomains weg. Die Prüfung besteht trotzdem mit nur max-age — du verlierst aber den Schutz für *.deinedomain.de. Ohne includeSubDomains kannst du nicht preloaden.

Was diese Prüfung macht

Inspiziert die HTTP-Response-Header auf Strict-Transport-Security (HSTS). Die Direktive weist jeden Browser an, für die Dauer von max-age keine reinen HTTP-Verbindungen zu deiner Domain mehr zuzulassen.

Warum es wichtig ist

Selbst mit aktivem HTTPS ist die allererste Anfrage eines neuen Besuchers meistens unverschlüsselt — er tippt deinedomain.de ein und der Browser versucht zuerst HTTP. Diese erste Anfrage ist ein Fenster für Downgrade-Angriffe (sslstrip-artige Man-in-the-Middle-Angriffe in feindlichen WLANs).

HSTS schlägt dieses Fenster zu. Sobald ein Browser einen gültigen HSTS-Header gesehen hat, schreibt er jede zukünftige Anfrage für die gesamte max-age automatisch auf HTTPS um — auch wenn der Nutzer http:// eintippt.

Wie du es behebst

Sende den Header bei jeder HTTPS-Response. Ein sicherer Produktivwert:

Strict-Transport-Security: max-age=31536000; includeSubDomains

nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Cloudflare: SSL/TLS → Edge Certificates → HTTP Strict Transport Security (HSTS) → aktivieren, max-age auf 12 Monate setzen, Include subdomains anschalten.

Wenn du dir sicher bist, ergänze ; preload und reiche die Domain bei der Chrome-Preload-Liste ein — die Voraussetzungen stehen auf der Seite HSTS Preload.

Häufig gestellte Fragen

Welche max-age soll ich nutzen?

Starte mit max-age=300 (5 Minuten) während des Tests, dann eskaliere auf 31536000 (ein Jahr). HSTS Preload erfordert mindestens ein Jahr.

Sperrt HSTS mich aus, wenn HTTPS bricht?

Ja — das ist der Punkt. Wenn dein Zertifikat abläuft oder deine TLS-Konfiguration kaputtgeht, kommen Nutzer, die deine Seite vorher besucht haben, nicht mehr per HTTP-Fallback rein. Erneuere Zertifikate zuverlässig (Let’s Encrypt + systemd-Timer) und überwache das Ablaufdatum.

Was, wenn ich keine Kontrolle über Subdomains habe?

Lass includeSubDomains weg. Die Prüfung besteht trotzdem mit nur max-age — du verlierst aber den Schutz für *.deinedomain.de. Ohne includeSubDomains kannst du nicht preloaden.