Strict
Transport
Prüfen Sie in Echtzeit, ob Ihre Domain den HSTS-Header korrekt ausliefert, alle Sicherheitsdirektiven erfüllt und für das offizielle Browser-Preloading berechtigt ist.
HSTS Checker – HTTP Strict Transport Security & Preload Validierung
Prüfen Sie in Echtzeit, ob Ihre Domain den HSTS-Header korrekt ausliefert, alle Sicherheitsdirektiven erfüllt und für das offizielle Browser-Preloading berechtigt ist.
HSTS Checker: Strict-Transport-Security Header & Preload-Status prüfen
01Was ist HSTS (HTTP Strict Transport Security) und wie funktioniert der Schutz?
HTTP Strict Transport Security (HSTS) ist ein mächtiger Web-Sicherheitsstandard, der mittels eines HTTP-Response-Headers spezifiziert wird (RFC 6797). Er zwingt Browser dazu, mit einer Website ausschließlich über eine verschlüsselte HTTPS-Verbindung zu kommunizieren. Wenn ein Nutzer eine Domain auf getbox.de analysiert, prüft unser Tool, ob der Server den Header `Strict-Transport-Security` mitsendet. Ohne HSTS besteht beim ersten Aufruf einer Seite oder bei der manuellen Eingabe von 'http://' immer das Risiko einer unverschlüsselten Übertragung. HSTS eliminiert diese Schwachstelle, indem der Browser nach dem ersten erfolgreichen Handshake jeden zukünftigen HTTP-Aufruf intern sofort in ein sicheres HTTPS umwandelt, noch bevor die Anfrage das lokale System verlässt.
02Schutz vor SSL-Stripping und Man-in-the-Middle-Angriffen (MitM)
Der primäre Einsatzzweck von HSTS ist die verlässliche Abwehr von sogenannten Man-in-the-Middle-Angriffen, speziell dem 'SSL-Stripping' (auch bekannt als Moxie Marlinspike Attacke). Bei diesem Angriffsvektor klinkt sich ein Angreifer in ein ungesichertes Netzwerk (z. B. ein öffentliches WLAN) ein und fängt den initialen, unverschlüsselten HTTP-Aufruf des Nutzers ab. Der Angreifer leitet die Anfrage intern per HTTPS an den echten Server weiter, liefert dem Nutzer jedoch eine manipulierte, unverschlüsselte HTTP-Kopie aus. Da der Browser des Opfers denkt, er kommuniziere normal über HTTP, werden Passwörter, Sitzungs-Cookies und Kreditkartendaten im Klartext abgegriffen. Ein korrekt konfigurierter HSTS-Header verhindert dies radikal, da der Browser eine unverschlüsselte Verbindung strikt verweigert.
03Die HSTS-Direktiven im Detail: Max-Age, includeSubDomains und Preload
Ein valider HSTS-Header besteht aus einer Kombination spezifischer Direktiven, deren Syntax unser Tool penibel auf Konformität überprüft: 1. **max-age=[Sekunden]:** Definiert, wie lange (in Sekunden) der Browser sich merken muss, dass die Seite ausschließlich über HTTPS aufgerufen werden darf. Für produktive Systeme wird ein Wert von mindestens einem Jahr empfohlen (`31536000`). 2. **includeSubDomains:** Diese optionale, aber hochgradig empfohlene Direktive weitet den HSTS-Schutz erzwungen auf alle Subdomains (z. B. `api.deine-domain.de`) aus. 3. **preload:** Das entscheidende Token, das den Browsern signalisiert, dass der Inhaber der Domain mit der Aufnahme in die globale HSTS-Preload-Liste einverstanden ist. Unser Parser schlüsselt diese Direktiven visuell auf und zeigt Ihnen sofortigen Optimierungsbedarf.
04Was ist das HSTS-Preloading und warum ist es das ultimative Sicherheits-Upgrade?
Das klassische HSTS hat eine konzeptionelle Schwachstelle: das Prinzip 'Trust on First Use' (TOFU). Beim allerersten Aufruf einer Website über ein frisches System weiß der Browser noch nicht, dass die Seite HSTS erzwingt. In diesem exakten Moment wäre ein SSL-Stripping-Angriff noch theoretisch möglich. Um diese Lücke zu schließen, pflegt das Chromium-Projekt eine fest in den Browser-Quelltext integrierte 'HSTS-Preload-Liste', die von Chrome, Firefox, Safari und Edge genutzt wird. Steht Ihre Domain auf dieser Liste, weiß der Browser schon vor dem allerersten Klick, dass HTTPS Pflicht ist. Unser HSTS Checker validiert die strengen Kriterien für diesen Eintrag: Ein gültiges SSL-Zertifikat, die korrekte Auslieferung auf der Root-Domain sowie die Erfüllung der Mindestlaufzeit von `max-age` inklusive aller Subdomains.
05Gefahren beim HSTS-Deployment: Warum unüberlegte Konfigurationen Subdomains lahmlegen
HSTS ist ein extrem scharfes Sicherheitswerkzeug und verzeiht keine Fehler. Wenn Sie die Direktive `includeSubDomains` aktivieren, Ihr HSTS-Header scharf geschaltet wird, aber eine ältere, interne Subdomain (wie ein altes Intranet oder ein Entwicklungs-Server) noch kein gültiges SSL-Zertifikat besitzt, sperrt der Browser den Zugriff auf diese Subdomain komplett. Diese Sperre lässt sich vom Nutzer nicht per Klick umgehen oder ignorieren. Auch das Entfernen des Headers vom Server hilft nicht sofort, da die Browser den Befehl bis zum Ablauf der `max-age` stur im lokalen Cache speichern. Unser Tool bietet Administratoren daher eine sichere Testumgebung, um den Header vor dem globalen Rollout auf Herz und Nieren zu prüfen.
Infrastruktur-Tipp: Das korrekte Härten von HTTP-Response-Headern (HSTS, CSP, X-Frame-Options) ist essenziell für moderne IT-Compliance. Um Ihre Server-Konfigurationen kontinuierlich zu überwachen und bei Zertifikats- oder Header-Fehlern sofort alarmiert zu werden, ist ein automatisiertes Sicherheits-Monitoring unerlässlich. Hier professionelle Enterprise-Security-Suiten vergleichen