Nginx: HSTS

HSTS | wikipedia.de

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll.

Der Server versendet bei HTTPS-Verbindungen einen zusätzlichen Header mit der Information, dass die angeforderte Seite in der Zukunft nur über eine verschlüsselte Verbindung verfügbar ist. Dieser Header muss dann vom Browser des Anwenders entsprechend interpretiert werden. Der Header ist Strict-Transport-Security. Außerdem wird angegeben, wie lange die Seite in Zukunft verschlüsselt erreichbar sein wird. Diese Zeitspanne wird in Sekunden angegeben. So weist der Header

1
Strict-Transport-Security: max-age=31536000

den Browser des Anwenders an, für die Dauer eines Gemeinjahres nur verschlüsselte Verbindungen zu dieser Seite aufzubauen.

Damit mein Server künfitg auch HTTPS-Verbindungen erzwingt habe ich in der nginx.conf folgenden String ergänzt:

Code
1
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
Die hier verlinkten Artikel haben mir bei der korrekten Konfiguration geholfen:

HSTS and NGINX auf nginx.com
Konfigurieren von HTTP Strict Transport Security auf xolphin.de

0%