Es ist allgemein anerkannt, dass HTTPS viel sicherer ist als HTTP. Wenn du jedoch die Meldung „HSTS fehlt auf dem HTTPS-Server“ erhältst, könnte dieses Protokoll ein Risiko für deine Webseite darstellen.
Zum Glück ist es möglich, diese schwerwiegende Sicherheitslücke zu schließen. Auch wenn du diese Fehlermeldung noch nicht gesehen hast, ist jede Webseite, die von HTTP auf HTTPS umleitet, anfällig für diese Schwachstelle. Deshalb ist es trotzdem ratsam, proaktiv vorzugehen und diese Lücke zu schließen.
In diesem Beitrag erfahren wir, was die Fehlermeldung „HSTS fehlt auf dem HTTPS-Server“ bedeutet und warum sie für jede Webseite, die HTTPS-Weiterleitungen nutzt, ein großes Problem darstellt. Dann zeigen wir dir, wie du dieses Problem in fünf einfachen Schritten beheben und die Hacker abwehren kannst.
Schau dir unsere Videoanleitung zur Behebung des Fehlers „HSTS Missing From HTTP Server“ an
Eine Einführung in den Fehler „HSTS fehlt auf dem HTTPS-Server“
Um die Sicherheit der Besucher zu gewährleisten, ist es nicht ungewöhnlich, dass Webseiten eine HTTPS-Umleitung einrichten. Diese Umleitung leitet die Besucher von einer HTTP- zu einer HTTPS-Version der Webseite um.
Ein Nutzer kann explizit HTTP in die Adresszeile seines Browsers eingeben oder einem Link folgen, der auf eine HTTP-Version der Webseite verweist. In diesen Fällen kann eine Umleitung verhindern, dass böswillige Dritte die Daten der Besucher/innen stehlen.
Allerdings ist keine Technologie perfekt. Wenn deine Webseite HTTPS-Weiterleitungen verwendet, bist du möglicherweise anfällig für einen Man-In-The-Middle (MITM)-Angriff, der als Secure Sockets Layer (SSL) Stripping bekannt ist. Bei diesem Angriff blockiert der Hacker die Umleitungsanfrage und verhindert, dass der Browser deine Webseite über das HTTPS-Protokoll lädt. Das hat zur Folge, dass der Besucher über HTTP auf deine Webseite zugreift, was es für Hacker viel einfacher macht, Daten zu stehlen.
Alternativ könnte der Angreifer die Weiterleitung abfangen und die Besucher auf eine Klonversion deiner Webseite umleiten. An diesem Punkt kann der Hacker alle Daten stehlen, die der Nutzer preisgibt, einschließlich Passwörter und Zahlungsinformationen. Manche Hacker versuchen auch, Besucher zum Herunterladen von Schadsoftware zu verleiten.
Es ist auch möglich, dass Hacker ein Sitzungscookie über eine ungesicherte Verbindung stehlen, was als Cookie-Hijacking bekannt ist. Diese Cookies können eine Vielzahl von Informationen enthalten, darunter Benutzernamen, Passwörter und sogar Kreditkartendaten.
Um deine Besucher vor diesen Angriffen zu schützen, empfehlen wir, HTTP Strict Transport Security (HSTS) zu aktivieren. Dieses Protokoll zwingt den Browser dazu, direkte Anfragen zu ignorieren und deine Webseite über HTTPS zu laden.
Das HSTS-Protokoll (und warum du es nutzen solltest)
HSTS ist eine Serverrichtlinie und eine Web-Sicherheitspolitik. HSTS wurde von der Internet Engineering Task Force (IETF) in RFC 6797 spezifiziert und legt fest, wie User Agents und Webbrowser ihre Verbindungen zu einer Webseite, die über HTTPS läuft, behandeln sollen.
Manchmal meldet ein IT-Sicherheitsscan, dass auf deiner Webseite „HSTS“ oder „HTTP Strict Transport Security“-Header fehlen. Wenn du diese Fehlermeldung erhältst, verwendet deine Webseite kein HSTS, was bedeutet, dass deine HTTPS-Weiterleitungen deine Besucher/innen möglicherweise gefährden.
Diese Schwachstelle wird als mittelschweres Risiko eingestuft. Sie ist jedoch sehr verbreitet und stellt für Angreifer ein leichtes Opfer dar. Wenn du diesen Fehler entdeckst, musst du ihn unbedingt beheben.
Indem du den HSTS-Sicherheitsheader zu deinem Server hinzufügst, kannst du erzwingen, dass deine Webseite über das HTTPS-Protokoll geladen wird. So kannst du deine Webseite vor Cookie-Hijacking und Protokollangriffen schützen. Da du möglicherweise eine Umleitung aus dem Ladevorgang herausnimmst, kann deine Seite auch schneller laden.
Es kann sein, dass dieser Fehler bei dir noch nicht aufgetreten ist, du dir aber trotzdem Gedanken über HSTS machst. Wenn du dir nicht sicher bist, ob du HSTS aktiviert hast, kannst du deine Webseite mit einem Tool wie Security Headers überprüfen. Gib einfach die URL deiner Webseite ein und klicke dann auf Scannen.
Security Headers prüft deine Webseite und zeigt alle verwendeten Header im Bereich Headers an. Wenn Strict-Transport-Security auftaucht, ist deine Seite geschützt. Wenn dieser Header jedoch nicht aufgeführt ist, haben wir noch etwas zu tun.
Wie du den Fehler „HSTS fehlt auf dem HTTPS-Server“ behebst (in 5 Schritten)
Für Hacker ist die HSTS-Schwachstelle die perfekte Gelegenheit, um Daten zu stehlen oder deine Besucher zu gefährlichen Aktionen zu verleiten. Hier erfährst du, wie du die HSTS-Richtlinie aktivierst und deine Website sicher machst.
Schritt 1: Erstelle ein manuelles Backup
Die Aktivierung der HSTS-Richtlinie stellt eine erhebliche Veränderung deiner Webseite dar. Aus diesem Grund empfehlen wir dir, ein On-Demand-Backup zu erstellen, bevor du fortfährst. So hast du die Möglichkeit, deine Webseite wiederherzustellen, falls bei der Aktivierung von HSTS Probleme auftreten sollten.
Bei Kinsta bieten wir tägliche automatische WordPress-Backups an. Trotzdem ist es ratsam, ein manuelles Backup zu erstellen, bevor du größere Änderungen vornimmst. Um dieses Sicherheitsnetz zu erstellen, logge dich in dein MyKinsta-Dashboard ein und wähle die betreffende Webseite aus. Dann klickst du auf den Reiter Backups.
Wähle als nächstes die Registerkarte Manuell. Suche die Schaltfläche “ Jetzt sichern “ und klicke sie an.
Du kannst nun eine kurze Notiz zu deinem Backup hinzufügen. So kannst du es in deinem MyKinsta-Dashboard leichter identifizieren.
Klicke abschließend auf “ Backup erstellen„. Jetzt wird dein Backup erstellt und zu deinem Dashboard hinzugefügt.
Schritt 2: Einrichten einer HTTP-zu-HTTPS-Umleitung
Bevor du die HSTS-Richtlinie aktivierst, musst du ein SSL-Zertifikat für deine Webseite einrichten. Bei Kinsta schützen wir alle verifizierten Domains automatisch mit unserer Cloudflare-Integration. Dazu gehören kostenlose SSL-Zertifikate mit Wildcard-Unterstützung. Wenn du kein spezielles Zertifikat benötigst, musst du dich nicht um die manuelle Konfiguration von SSL kümmern.
Als Nächstes musst du eine HTTP-zu-HTTPS-Umleitung einrichten, falls du das nicht schon getan hast. Um diese Umleitung einzurichten, logge dich einfach in dein MyKinsta-Dashboard ein und wähle deine Webseite aus. Dann klickst du auf Werkzeuge.
Klicke im Abschnitt “ HTTPS erzwingen “ auf die Schaltfläche “ Aktivieren“. Du kannst nun wählen, ob du deine primäre Domain als Ziel verwenden willst oder eine alternative Domain. Nachdem du diese Entscheidung getroffen hast, wähle HTTPS erzwingen.
Wenn du Proxys von Drittanbietern verwendest oder benutzerdefinierte HTTPS-Regeln einrichtest, kann das Erzwingen von HTTPS zu Fehlern oder anderem seltsamen Verhalten führen. Wenn du Probleme hast, kannst du dich jederzeit an unser Support-Team wenden, das dir gerne weiterhilft.
Wenn dein Webserver mit Nginx läuft, kannst du deinen gesamten HTTP-Traffic auf HTTPS umleiten. Füge einfach den folgenden Code zu deiner Nginx-Konfigurationsdatei hinzu:
server {
listen 80;
server_name domain.com www.domain.com;
return 301 https://domain.com$request_uri;
}Wenn du ein Kinsta-Kunde bist, können wir diese Änderung auch für dich vornehmen. Eröffne einfach ein Support-Ticket und teile uns mit, welche Domain umgeleitet werden muss, und wir kümmern uns um den Rest.
Schritt 3: Hinzufügen des HSTS-Headers
Es gibt verschiedene Arten von Direktiven und Sicherheitsstufen, die du auf deinen HSTS-Header anwenden kannst. Wir empfehlen jedoch, die max-age-Direktive hinzuzufügen, da diese die Zeit in Sekunden festlegt, für die der Webserver über HTTPS liefern soll. Dadurch wird der Zugriff auf Seiten oder Subdomains gesperrt, die nur über HTTP ausgeliefert werden können.
Wenn du einen Apache-Server verwendest, musst du deine virtuelle Hosts-Datei öffnen. Dann kannst du Folgendes hinzufügen:
Header always set Strict-Transport-Security max-age=31536000Bei Kinsta verwenden wir Nginx-Server. Wenn du ein Kinsta-Kunde bist, kannst du Folgendes zu deiner Nginx-Konfigurationsdatei hinzufügen:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";Wie immer können wir die ganze Arbeit für dich erledigen. Eröffne einfach ein Support-Ticket und bitte uns, einen HSTS-Header zu deiner Webseite hinzuzufügen. Unser Team wird diese Änderung gerne an deiner Nginx-Datei vornehmen.
Schritt 4: Trage deine Webseite in die HSTS-Preload-Liste ein
Es gibt einen großen Nachteil der HSTS-Richtlinie. Ein Browser muss mindestens einmal auf den HSTS-Header stoßen, bevor er ihn für zukünftige Besuche verwenden kann. Das bedeutet, dass dein Publikum mindestens einmal den Umleitungsprozess von HTTP zu HTTPS durchlaufen muss. Während dieser Zeit sind sie anfällig für protokollbasierte Angriffe.
Um diese Sicherheitslücke zu schließen, hat Google die HSTS-Preload-Liste erstellt. In dieser Liste sind alle Webseiten aufgeführt, die HSTS unterstützen, und diese Liste ist in Chrome fest einprogrammiert. Wenn du deine Webseite zu dieser Liste hinzufügst, müssen Besucher/innen keine HTTPS-Umleitung mehr durchführen.
Die meisten großen Internetbrowser haben ihre eigenen HSTS-Vorladelisten, die auf der Liste von Chrome basieren. Um in diese Liste aufgenommen zu werden, muss deine Webseite die Anmeldekriterien erfüllen. Die gute Nachricht ist, dass wir all diese Anforderungen bereits erfüllt haben, sodass du deine Webseite für die HSTS-Preload-Liste anmelden kannst.
Wenn du es auf diese Liste geschafft hast, warnen dich einige Suchmaschinenoptimierungs-Tools (SEO) möglicherweise vor 307 Weiterleitungen. Diese Weiterleitungen treten auf, wenn jemand versucht, über ein ungesichertes HTTP-Protokoll auf deine Webseite zuzugreifen. Dies löst eine 307-Weiterleitung anstelle einer permanenten 301-Weiterleitung aus. Wenn du dir darüber Sorgen machst, kannst du mit httpstatus deine Webseite scannen und überprüfen, ob eine 301-Weiterleitung stattfindet.
Schritt 5. Überprüfe deinen Strict-Transport-Security Header
Nachdem du den HSTS-Header hinzugefügt hast, solltest du prüfen, ob er richtig funktioniert. Diese Prüfung kannst du mit den integrierten Webtools deines Browsers durchführen.
Die Schritte hängen von dem von dir gewählten Webbrowser ab. Um dies zu tun, rufe die Google Chrome DevTools auf und navigiere zu der Webseite, die du testen möchtest. Dann klickst du auf einen leeren Bereich und wählst Inspizieren.
Im folgenden Fenster wählst du die Registerkarte Netzwerk. Dann kannst du den Bereich Header überprüfen, der Folgendes enthalten sollte:
strict-transport-security: max-age=31536000Alternativ kannst du deine Webseite auch mit dem Security Headers Tool scannen. Wie zuvor gibst du einfach die URL deiner Webseite ein und klickst dann auf Scannen. Du erhältst einen Sicherheitsbericht, der ein strict-transport-security-Tag enthalten sollte. Wenn dieses Tag vorhanden ist, ist dein HSTS-Header jetzt korrekt eingerichtet und du hast das Schlupfloch der HTTPS-Weiterleitung erfolgreich geschlossen.
Zusammenfassung
Die Umleitung von HTTP zu HTTPS ist eine bewährte Sicherheitsmethode. Allerdings ist keine Technologie perfekt und diese Umleitung kann deine Webseite anfälliger für SSL-Angriffe machen.
Deshalb wollen wir noch einmal zusammenfassen, wie du den Fehler „HSTS fehlt auf dem HTTPS-Server“ beheben kannst:
- Erstelle ein manuelles Backup deiner Webseite.
- Richte eine Umleitung von HTTP zu HTTPS ein.
- Füge den HSTS-Header hinzu.
- Trage deine Webseite in die HSTS-Preload Liste ein.
- Überprüfe deinen strict-transport-security Header.
Die Behebung von Fehlermeldungen kann ein zeitaufwändiger und frustrierender Prozess sein. Aber unser Expertenteam hilft dir gerne! Der Rund-um-die-Uhr-Support ist in allen unseren Kinsta-Tarifen enthalten, damit du dich auf das konzentrieren kannst, was wirklich wichtig ist: das Wachstum deiner Website.
