In der neuesten Version unterstützt der auf Sicherheit getrimmte Webserver erstmals das kürzlich standardisierte HSTS-Protokoll.
Ab der eben veröffentlichten Version 8.7 beherrscht der Webserver Hiawatha das HSTS-Protokoll (HTTP Strict Transport Security). Damit können Website-Betreiber festlegen, dass Server nur über HTTPS-Verschlüsselung erreichbar sind. Erst Ende November 2012 hat die Internet Engineering Task Force (IETF) den RFC 6797 veröffentlicht und damit HTTP Strict Transport Security als Internet-Standard festgeschrieben.
Hiawatha ist vom Erfinder Hugo Leisink als besonders sicherer Webserver konzipiert, der etwa von Haus aus gegen Denial-of-Service-Attacken gewappnet ist. Neben der funktionalen Erweiterung enthält die neue Version einige Bugfixes. Außerdem wurde das PHP-FCGI-Tool entfernt. Stattdessen sollen PHP-Anwender nun PHP-FPM verwenden.
Der neue Standard HSTS soll künftig dafür sorgen, dass Websites nur noch über HTTPS erreichbar sind, wenn sie entsprechend konfiguriert sind.