HSTS: Website Security Header Verbessern

/, Technisches SEO/HSTS: Website Security Header Verbessern

So fügen Sie HSTS zu den Headereinträgen hinzu

HSTS Security Headers Improve SEO

Werfen wir einen genaueren Blick darauf, was HSTS ist, warum Sie es brauchen und wie Sie HSTS einfach implementieren können, indem Sie Ihrer .htaccess-Datei ein paar Zeilen Code hinzufügen.

Sie wissen sicherlich bereits, dass HTTPS (HTTP über SSL / TLS) ein Ranking-Faktor für SEO ist. Seit Google dies im August 2014 angekündigt hat, hat HTTPS allmählich an Bedeutung gewonnen. In den letzten Monaten, und ab Juli 2018, Google beliebte Chrome-Browser markiert Nicht-HTTPS-Websites als“ nicht sicher „ und die Bedeutung von HTTPS als Google-Ranking-Faktor nimmt offensichtlich zu.

Die Botschaft ist klar: Sicherheit und Geschwindigkeit der Website haben für Google höchste Priorität.

Seit einigen Jahren ist klar, dass Webmaster und Websitebesitzer ihre Site von HTTP auf HTTPS verschieben sollten. Nehmen wir also an, Sie haben alle auf HTTPS umgestellt. Wenn Sie es trotz aller Widrigkeiten noch nicht getan haben, ist es höchste Zeit, mehr über die Umstellung auf HTTPS zu erfahren. Sie sollten mit dem Lesen eines der vielen Artikel zu diesem Thema beginnen. Ein guter Ausgangspunkt sind Artikel wie zB HTTP to HTTPS: Ein SEO-Leitfaden zur Absicherung einer Website </ a> oder Verschieben Sie Ihre Website auf HTTPS / SSL , um mehr darüber zu erfahren.

Was ist HSTS und warum brauchen Sie es?

HTTP Strikte Transportsicherheit – oder einfach HSTS – ist ein Websicherheits-Policy-Mechanismus, der dazu beiträgt, Websites vor Protokoll-Downgrade-Angriffen und Cookie-Hijacking zu schützen. HSTS wird vom Server über ein HTTP-Response-Header-Feld namens „Strict-Transport-Security“ an den User-Agent übermittelt. Dies gibt einen Zeitraum an, während dessen der Benutzeragent nur auf sichere Weise auf den Server zugreifen darf.

Beim Lesen des Wikipedia-Artikels lernen wir die Vorteile des HSTS-Sicherheitsheaders kennen:

Die HSTS-Richtlinie schützt Benutzer von Webanwendungen vor passiven Lauschangriffen und aktiven Netzwerkangriffen. Ein Man-in-the-Middle-Angreifer hat eine stark reduzierte Fähigkeit, Anfragen und Antworten zwischen einem Benutzer und einem Webanwendungsserver abzufangen, während der Browser des Benutzers die HSTS-Richtlinie für diese Webanwendung in Kraft hat.

[…]

Die wichtigste Sicherheitslücke, die HSTS beheben kann, sind SSL-abstreifende Man-in-the-Middle-Attacken, die erstmals von Moxie Marlinspike 2009 in seinem BlackHat Federal-Vortrag „Neue Tricks zum Besiegen von SSL in der Praxis“ vorgestellt wurden. Beim Abstreifen von SSL (und TLS) wird eine sichere HTTPS-Verbindung transparent in eine einfache HTTP-Verbindung konvertiert. Der Benutzer kann sehen, dass die Verbindung unsicher ist, aber es gibt keine Möglichkeit zu wissen, ob die Verbindung sicher sein sollte. Viele Websites verwenden kein TLS / SSL, daher gibt es keine Möglichkeit (ohne Vorwissen) zu wissen, ob die Verwendung von einfachem HTTP auf einen Angriff zurückzuführen ist oder einfach, weil die Website TLS / SSL nicht implementiert hat.

Darüber hinaus werden dem Benutzer während des Downgrade-Vorgangs keine Warnungen angezeigt, wodurch der Angriff für alle, mit Ausnahme der Wachsamsten, subtil ist. Marlinspike’s sslstrip Tool automatisiert den Angriff vollständig. HSTS behebt dieses Problem, indem es den Browser informiert, dass Verbindungen zur Site immer TLS / SSL verwenden sollten. Der HSTS-Header kann vom Angreifer entfernt werden, wenn dies der erste Besuch des Benutzers ist.

HSTS weist Web-Browser daher an, bei der Kommunikation mit einer Website nur sichere Verbindungen für alle zukünftigen Anfragen zu verwenden.

Auf diese Weise können SSL-Protokollangriffe, SSL-Stripping, Cookie-Hijacking und andere Versuche zur Umgehung des SSL-Schutzes verhindert werden.

Verbesserte SEO & Website-Geschwindigkeit

HSTS verbessert nicht nur die Sicherheit Ihrer Website. Es gibt Ihnen auch kleinere SEO-Verbesserungen, weil die Verwendung von HSTS Ihre Website ein wenig schneller laden wird.

So funktioniert es:

Wenn Sie eine Website nur mit HTTPS laden, versucht Ihr Browser zunächst, die HTTP-Version aufzurufen, bevor eine Seite HTTPS unterstützt. Dieser erste HTTP-Versuch führt zu einer kleinen Verzögerung beim Laden der Website. Klar, wir reden von Millisekunden, aber wenn es um Ihre Seitengeschwindigkeit geht, zählt jede Millisekunde.

Wenn HSTS aktiviert ist, kann der Browser nur HTTPS verwenden, wodurch die Umleitung sofort erfolgt und Verzögerungen vermieden werden.

Hinzufügen von HSTS-Sicherheitsheadern über .htaccess

Wenn Sie eine WordPress-Site betreiben, können Sie eines der vielen Plugins verwenden, um HSTS zu erleichtern. Aber es gibt einen einfacheren Weg, dies zu tun, und ohne ein Plugin von Drittanbietern installieren zu müssen. Fügen Sie Ihrer .htaccess-Datei einfach die folgenden Codezeilen hinzu:

# Zusätzliche Sicherheitsüberschriften
Kopfsatz X-XSS-Protection "1; Modus = Block"
Kopfzeile immer X-Frame-Optionen SAMEORIGIN anhängen
Kopfsatz X-Content-Type-Optionen nosniff
Header-Set Strict-Transport-Sicherheit "max-age = 31536000" env = HTTPS
Header setzt Referrer-Policy "no-referrer-when-downgrade"

Beachten Sie, dass, wenn Ihr Webserver diesen Header sendet, jeder Browser, der über HTTPS auf die Site zugreift, nicht für die angegebene Zeitdauer auf die ungesicherte HTTP-Site zugreifen kann. In diesem Fall 31.536.000 Sekunden oder ein Jahr.

Aus diesem Grund sollten Sie, sobald Sie HSTS aktivieren, nicht die Verwendung von SSL auf Ihrer Website beenden. In diesem Fall können wiederkehrende Besucher nicht auf Ihre Website zugreifen.

So überprüfen Sie Ihre Sicherheitsheader

Nachdem Sie Ihre .htaccess-Datei bearbeitet haben, sollten Sie überprüfen, ob sie korrekt implementiert wurde.

Eine großartige Seite, um Ihre HTTP-Antwort-Header zu analysieren, ist https://securityheaders.com von Scott Helme – ein großes Lob an Scott für diesen Service!

Wenn Sie den obigen Code in Ihrem .htaccess verwenden, sollten Sie die Klasse A erreichen.

Wenn Sie noch weiter gehen und sich für A + entscheiden möchten, müssen Sie auch Content Security Policy (CSP) implementieren, um Cross-Site Scripting – CSS – Angriffe zu verhindern.

Das Anwenden von CSP-Headern auf WordPress kann etwas komplizierter sein als das Einrichten von HSTS, daher ist es in Ordnung, diese Aufgabe zu speichern ein regnerischer Tag.

By |2018-10-23T21:31:09+00:00September 22nd, 2018|Kategorien: Sicherheit, Technisches SEO|Tags: |

Über den Autor:

Digital Marketing Engineer, Multilingual SEO Expert, Search Engine Marketing Professional, Technical SEO, LAMP Stack Application Fan & FOSS Enthusiast, PPC Advertiser, Debian & Devuan GNU/Linux System Administrator, CRM Solution Provider, Joomla! Webmaster, WordPress Virtuoso & OpenCart E-Commercialist. Standing on the Shoulders of Giants.

Leave A Comment