HTTP Strict Transport Security wird Internet-Standard

23.11.2012

Der neue Standard HSTS soll künftig dafür sorgen, dass Websites nur noch über HTTPS erreichbar sind, wenn sie entsprechend konfiguriert sind. 

Die Internet Engineering Task Force (IETF) hat den  RFC 6797  veröffentlicht und damit HTTP Strict Transport Security ( HSTS ) formal als Internet-Standard festgeschrieben. Webserver, die entsprechend konfiguriert sind, erlauben damit nur noch verschlüsselte Verbindungen. Dies setzt allerdings voraus, das Webbrowser auf das vom Server verschickten Header-Feld wie gewünscht reagieren. Gleichzeitig ist der Sicherheitsmechanismus nicht von Haus aus immun gegen Man-in-the-Middle-Angriffe, die den Header manipulieren. Browser wie Chrome und Firefox wollen deshalb eine Liste von Websites führen, die HSTS-kompatibel sind. 

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Hiawatha beherrscht HTTP Strict Transport Security

In der neuesten Version unterstützt der auf Sicherheit getrimmte Webserver erstmals das kürzlich standardisierte HSTS-Protokoll.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023