SSL ohne Redirect mit HSTS

Folgenden HTTP-Header habe ich vor kurzem entdeckt und halte ihn für sehr sinnvoll:

Strict-Transport-Security: max-age=7776000

Da mir dieser Header bisher nicht bekannt war möchte ich hier kurz darauf hinweisen.

Das Ausgeben des HTTP Strict Transport Security (HSTS) Headers sorgt beim Browser dafür (sofern unterstützt), dass die entsprechende Domain ab sofort und für den angegebenen Zeitraum nur noch über eine SSL Verbindung aufgerufen wird. Man teilt dem Browser also mit, dass er die aktuelle Domain ab sofort nur noch über https aufufen soll. Ab dem zweiten Besuch findet dementsprechend kein Redirect von http auf https mehr statt, auch wenn die Domain über http aufgerunfen wird (Bookmark, Link, etc.). Erhöht die Sicherheit und reduziert die http -> https Redirects.

Unter Nginx kann man den Header mit folgenden Code in der entsprechenden Vhost Konfiguration ausgeben:

add_header Strict-Transport-Security max-age=7776000;

Leave a Reply

Your email address will not be published. Required fields are marked *

π