Je e-mail is verstuurd.

Wat is HTTP Strict Transport Security (HSTS)?

HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme voor het web. Het beschermt websites tegen protocol-downgrade-aanvallen en cookie-kaping, door webbrowsers te dwingen alleen via veilige HTTPS-verbindingen met een website te communiceren.

Inhoudsopgave Inhoudsopgave

Hoe werkt HSTS?

Als een webbrowser een HSTS-beleid van een website ontvangt, zal hij alleen via een beveiligde HTTPS-verbinding met de website communiceren. Elke poging om via een onveilige HTTP-verbinding te communiceren wordt automatisch afgewezen.


Wat zijn de voordelen van het gebruik van HSTS?

De belangrijkste voordelen van het gebruik van HSTS zijn een verhoogde veiligheid voor websitebezoekers en een betere websiteperformance, doordat er geen extra omleidingen van HTTP naar HTTPS meer nodig zijn.


Hoe weet ik of mijn website met HSTS is beveiligd?

Je kunt controleren of je website met HSTS is uitgerust door middel van online-tools, zoals een HTTP header checker, of door de beveiligingsinformatie van de website in de browser te controleren.


Hoe schakel ik HSTS in op mijn website?

Je kunt HSTS op je website inschakelen door een header toe te voegen aan het HTTP-antwoord dat je server naar webbrowsers stuurt. De header in je .htaccess-bestand moet het veld "Strict-Transport-Security" bevatten en de maximale leeftijd van het beleid specificeren.


Voorbeeld:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

Header onsuccess unset Strict-Transport-Security

  • max-age specificeert de tijd in seconden dat de browser het HSTS-beleid voor deze site moet onthouden. In dit voorbeeld is het ingesteld op 31536000 seconden, wat overeenkomt met een jaar.
  • includeSubDomains past het HSTS-beleid toe op alle subdomeinen van het domein dat in de host-header staat.
  • preload geeft aan dat de eigenaar van de website de domeinnaam heeft aangemeld bij de HSTS-preload-lijst, zoals beschreven op https://hstspreload.org/.


Kan ik HSTS preloaden voor mijn website?

Ja, je kunt HSTS preloaden voor je website door deze aan te melden bij de HSTS-preload-lijst. Deze lijst wordt onderhouden door Chrome en ook gebruikt door Firefox, Safari en Edge. Eenmaal gepreload, zullen webbrowsers automatisch HSTS afdwingen voor je website zonder dat een initiële HTTPS-verbinding nodig is.


Wat zijn de criteria voor het vooraf laden van HSTS?

Om in aanmerking te komen voor preloading, moet je website aan de volgende criteria voldoen:

  • Een geldig SSL-certificaat hebben.
  • Al het HTTP-verkeer omgeleid zijn naar HTTPS.
  • Alle subdomeinen via HTTPS bereikbaar zijn.
  • Een maximale leeftijd hebben van ten minste 1 jaar (31536000 seconden) in de Strict-Transport-Security-header.

Je kunt controleren of je website in aanmerking komt voor preloading op de HSTS-preload-website.


Hoe meld ik mijn website aan bij de HSTS-preload-lijst?

Je kunt je website aanmelden bij de HSTS-preload-lijst door gebruik te maken van het aanmeldingsformulier op https://hstspreload.org/.


Hoe vaak moet ik mijn HSTS-beleid vernieuwen?

Het wordt aanbevolen om je HSTS-beleid elk jaar te vernieuwen om maximale veiligheid voor de bezoekers van je website te garanderen.

Door HTTP Strict Transport Security (HSTS) te implementeren kun je de veiligheid en prestaties van je website voor je bezoekers verbeteren.

Heeft dit artikel je geholpen?
Info: 02f491e10a311ad71366b11b15f275afab607736