HSTS - HTTP Strict Transport Security
Mit HTTP Strict Transport Security, kurz HSTS, teilt ein Webserver dem Browser mit, dass HTTP-Requests über eine verschlüsselte Verbindung erfolgen sollen. Nicht nur jetzt, sondern auch zukünftig. Unterstützt der Browser HSTS, dann merkt er sich das und wandelt alle unsicheren HTTP-Links in verschlüsselte HTTPS-Links um. Auf diese Weise stellt der Browser immer eine verschlüsselte HTTPS-Verbindung her. Auch wenn der Benutzer eine URL ohne "https" in die Adresszeile eingibt, findet die Umleitung automatisch auf die HTTPS-URL statt. Auf diese Weise zwingt der Server den Browser ausschließlich HTTPS-Links zu benutzen.
Der Webserver kennzeichnet im Header-Feld "Strict-Transport-Security" die HSTS-Unterstützung gekennzeichnet. So baut der Browser immer eine verschlüsselte Verbindung zum Server auf und entbindet den Nutzer vor dieser Verantwortung.
Wie sicher ist HSTS?
Prinzipiell setzt HSTS die korrekte Unterstützung sowohl beim Webserver als auch beim Browser voraus. Es verhindert, dass der Nutzer eine unsichere Verbindung aufbaut, obwohl eine verschlüsselte Verbindung möglich wäre. Doch ein Man-in-the-Middle kann die Umleitung verhindern, indem er die https-URLs durch normale http-URLs austauscht. Anschließend kann der Man-in-the-Middle alle Daten abgreifen.
Helfen würde nur, dass der Webserver ausschließlich verschlüsselte HTTPS-Verbindungen akzeptiert.