HSTS (HTTP Strict Transport Security)

Auf Deutsch wäre der Begriff HSTS (HTTP Strict Transport Security) übersetzt als "Strenge Transportsicherheit für HTTP".

HTTP Strict Transport Security (HSTS) ist ein Web-Sicherheitsmittel, das Webseiten zur Verfügung steht. Es ermöglicht einer Website, zu kommunizieren, dass sie ausschließlich über eine sichere Verbindung (HTTPS) kommunizieren möchte. Der Webbrowser soll danach keine unsichere Verbindung (HTTP) zur Website mehr aufnehmen.

HSTS erhöht die Sicherheit von Websites, da es die Möglichkeit eines sogenannten "Downgrade-Angriffs" ausschließt. Bei solch einem Angriff könnte ein Angreifer versuchen, die Verbindung von HTTPS (die verschlüsselt ist) auf HTTP (die unverschlüsselt ist) herunterzustufen, um so die Kommunikation abhören oder manipulieren zu können.

Sobald eine Website über HSTS verfügt und der Webbrowser dieses einmal erkannt hat, werden zukünftige Anfragen an diese Website automatisch mit HTTPS, und nicht mit HTTP gesendet, selbst dann, wenn der Nutzer HTTP in die Adresszeile eingibt.

Die Website-Betreiber können somit ihre Websites vor verschiedenen Arten von Angriffen schützen, indem sie die Nutzung von HTTPS erzwingen. Jedoch muss beachtet werden, dass HSTS erst wirksam wird, nachdem eine erste sichere Verbindung mit dem Webserver hergestellt wurde. Deshalb ist es in Verbindung mit sogenannten "Vorlade-Listen" von Browsern besonders wirksam, die solche Websites schon vor dem ersten Kontakt als nur über HTTPS erreichbar einstufen.

Zusammengefasst bietet HSTS eine zusätzliche Sicherheitsebene für Websites und ihre Nutzer, indem es die ausschließliche Nutzung verschlüsselter Verbindungen durchsetzt.