HSTS (HTTP Strict Transport Security)

HTTP Strict Transport Security ist ein Sicherheitsmechanismus für Webserver, der Browser anweist, eine Webseite ausschließlich über verschlüsselte HTTPS-Verbindungen aufzurufen und HTTP-Verbindungen oder ungültige Zertifikate abzulehnen. Ein korrekt konfiguriertes HSTS-Header mit langem max-age-Wert und includeSubDomains verhindert Downgrade-Angriffe und SSL-Stripping. Das BSI empfiehlt HSTS als Pflichtmaßnahme für alle Webanwendungen öffentlicher Stellen; Auftraggeber sollten dies als Mindestsicherheitsanforderung in Leistungsverzeichnisse aufnehmen.