HSTS (HTTP strict transport security)

HTTP Strict-Transport-Security (HSTS) ist ein von Websites eingesetzter Sicherheitsmechanismus der sicherstellt, dass auf Websites nicht mit dem HTTP-Protokoll zugegriffen werden kann, sondern nur mit dessen sicherer Variante, dem HTTPS-Protokoll; spezifiziert in RFC 6797. Den Web-Clients ist die Verbindung über das HTTP-Protokoll untersagt.

Der HSTS-Header informiert den Web-Browser darüber, dass er keine Website über HTTP laden sollte und alle Zugriffsversuche auf Websites über HTTP automatisch in HTTPS-Anforderungen umwandeln sollte. Wenn eine Website eine Verbindung über HTTP akzeptiert und auf HTTPS umleitet, können Visitor zunächst mit der unverschlüsselten Version der Website kommunizieren, bevor sie weitergeleitet werden. Diese Schwachstelle können Man-in-the-Middle-Angriffe ausgeführt und Besucher auf eine böswillige Website statt auf die sichere Version der ursprünglichen Website umgeleitet werden. Außerdem können über diese Schwachstelle Downgrade-Angriffe und Cookie-Hijacking ausgeführt werden, die durch die Umleitung über HTTPS verhindert werden. Der sichere Zugriff auf Webserver wird durch einen in den HSTS-Richtlinien festgelegten Zeitraum eingeschränkt.

Um die direkte Verbindung über HTTP zu verhindern, arbeiten Webserver mit Vorladelisten von HSTS-Websites. Die Vorladelisten stellen sicher, dass der Verbindungsaufbau zu den auf den Vorladelisten gelisteten Websites niemals über HTTP erfolgen kann.

Informationen zum Artikel
Deutsch:
Englisch: HTTP strict transport security - HSTS
Veröffentlicht: 28.02.2020
Wörter: 198
Tags: IT-Sicherheit
Links: HTTP (hypertext transfer protocol), HTTPS (hypertext transfer protocol secure), Man-in-the-Middle-Angriff, RFC (response for a class), Schwachstelle