Wat is HTTP Strict Transport Security (HSTS)?

Als een webbrowser een HSTS-beleid van een website ontvangt, zal hij alleen via een beveiligde HTTPS-verbinding met de website communiceren. Elke poging om via een onveilige HTTP-verbinding te communiceren wordt automatisch afgewezen.

De belangrijkste voordelen van het gebruik van HSTS zijn een verhoogde veiligheid voor websitebezoekers en een betere websiteperformance, doordat er geen extra omleidingen van HTTP naar HTTPS meer nodig zijn.

Je kunt controleren of je website met HSTS is uitgerust door middel van online-tools, zoals een HTTP header checker, of door de beveiligingsinformatie van de website in de browser te controleren.

Je kunt HSTS op je website inschakelen door een header toe te voegen aan het HTTP-antwoord dat je server naar webbrowsers stuurt. De header in je .htaccess-bestand moet het veld "Strict-Transport-Security" bevatten en de maximale leeftijd van het beleid specificeren.

Voorbeeld:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

Header onsuccess unset Strict-Transport-Security

• max-age specificeert de tijd in seconden dat de browser het HSTS-beleid voor deze site moet onthouden. In dit voorbeeld is het ingesteld op 31536000 seconden, wat overeenkomt met een jaar.
• includeSubDomains past het HSTS-beleid toe op alle subdomeinen van het domein dat in de host-header staat.
• preload geeft aan dat de eigenaar van de website de domeinnaam heeft aangemeld bij de HSTS-preload-lijst, zoals beschreven op https://hstspreload.org/.

Ja, je kunt HSTS preloaden voor je website door deze aan te melden bij de HSTS-preload-lijst. Deze lijst wordt onderhouden door Chrome en ook gebruikt door Firefox, Safari en Edge. Eenmaal gepreload, zullen webbrowsers automatisch HSTS afdwingen voor je website zonder dat een initiële HTTPS-verbinding nodig is.

Om in aanmerking te komen voor preloading, moet je website aan de volgende criteria voldoen:

• Een geldig SSL-certificaat hebben.
• Al het HTTP-verkeer omgeleid zijn naar HTTPS.
• Alle subdomeinen via HTTPS bereikbaar zijn.
• Een maximale leeftijd hebben van ten minste 1 jaar (31536000 seconden) in de Strict-Transport-Security-header.

Je kunt controleren of je website in aanmerking komt voor preloading op de HSTS-preload-website.

Je kunt je website aanmelden bij de HSTS-preload-lijst door gebruik te maken van het aanmeldingsformulier op https://hstspreload.org/.

Het wordt aanbevolen om je HSTS-beleid elk jaar te vernieuwen om maximale veiligheid voor de bezoekers van je website te garanderen.

Door HTTP Strict Transport Security (HSTS) te implementeren kun je de veiligheid en prestaties van je website voor je bezoekers verbeteren.