In diesem Beitrag erfahren wir, was die Fehlermeldung „HSTS fehlt auf dem HTTPS-Server“ bedeutet und warum sie f\u00fcr jede Webseite, die HTTPS-Weiterleitungen nutzt, ein gro\u00dfes Problem darstellt. Dann zeigen wir dir, wie du dieses Problem in f\u00fcnf einfachen Schritten beheben und die Hacker abwehren kannst.<\/p>\n
Schau dir unsere Videoanleitung<\/a> zur Behebung des Fehlers „HSTS Missing From HTTP Server“ an<\/h3>\n<\/kinsta-video>\nEine Einf\u00fchrung in den Fehler „HSTS fehlt auf dem HTTPS-Server“<\/h2>\n
Um die Sicherheit der Besucher zu gew\u00e4hrleisten, ist es nicht ungew\u00f6hnlich, dass Webseiten eine HTTPS-Umleitung einrichten<\/a>. Diese Umleitung leitet die Besucher von einer HTTP- zu einer HTTPS-Version der Webseite um.<\/p>\nEin Nutzer kann explizit HTTP in die Adresszeile seines Browsers eingeben oder einem Link folgen, der auf eine HTTP-Version der Webseite verweist. In diesen F\u00e4llen kann eine Umleitung verhindern, dass b\u00f6swillige Dritte die Daten der Besucher\/innen stehlen.<\/p>\n
Allerdings ist keine Technologie perfekt. Wenn deine Webseite HTTPS-Weiterleitungen verwendet, bist du m\u00f6glicherweise anf\u00e4llig f\u00fcr einen Man-In-The-Middle (MITM)-Angriff, der als Secure Sockets Layer (SSL) Stripping<\/a> bekannt ist. Bei diesem Angriff blockiert der Hacker die Umleitungsanfrage und verhindert, dass der Browser deine Webseite \u00fcber das HTTPS-Protokoll l\u00e4dt. Das hat zur Folge, dass der Besucher \u00fcber HTTP auf deine Webseite zugreift, was es f\u00fcr Hacker viel einfacher macht, Daten zu stehlen.<\/p>\nAlternativ k\u00f6nnte der Angreifer die Weiterleitung abfangen und die Besucher auf eine Klonversion deiner Webseite umleiten. An diesem Punkt kann der Hacker alle Daten stehlen, die der Nutzer preisgibt, einschlie\u00dflich Passw\u00f6rter und Zahlungsinformationen. Manche Hacker versuchen auch, Besucher zum Herunterladen von Schadsoftware zu verleiten.<\/p>\n
Es ist auch m\u00f6glich, dass Hacker ein Sitzungscookie \u00fcber eine ungesicherte Verbindung stehlen, was als Cookie-Hijacking bekannt ist. Diese Cookies k\u00f6nnen eine Vielzahl von Informationen enthalten, darunter Benutzernamen, Passw\u00f6rter und sogar Kreditkartendaten.<\/p>\n
Um deine Besucher vor diesen Angriffen zu sch\u00fctzen, empfehlen wir, HTTP Strict Transport Security (HSTS)<\/a> zu aktivieren. Dieses Protokoll zwingt den Browser dazu, direkte Anfragen zu ignorieren und deine Webseite \u00fcber HTTPS zu laden.<\/p>\n\nDas HSTS-Protokoll (und warum du es nutzen solltest)<\/h3>\n
HSTS ist eine Serverrichtlinie und eine Web-Sicherheitspolitik. HSTS wurde von der Internet Engineering Task Force (IETF) in RFC 6797<\/a> spezifiziert und legt fest, wie User Agents und Webbrowser ihre Verbindungen zu einer Webseite, die \u00fcber HTTPS l\u00e4uft, behandeln sollen.<\/p>\nManchmal meldet ein IT-Sicherheitsscan, dass auf deiner Webseite „HSTS“ oder „HTTP Strict Transport Security“-Header fehlen. Wenn du diese Fehlermeldung erh\u00e4ltst, verwendet deine Webseite kein HSTS, was bedeutet, dass deine HTTPS-Weiterleitungen deine Besucher\/innen m\u00f6glicherweise gef\u00e4hrden.<\/p>\n
Diese Schwachstelle wird als mittelschweres Risiko eingestuft. Sie ist jedoch sehr verbreitet und stellt f\u00fcr Angreifer ein leichtes Opfer<\/a> dar. Wenn du diesen Fehler entdeckst, musst du ihn unbedingt beheben.<\/p>\nIndem du den HSTS-Sicherheitsheader zu deinem Server hinzuf\u00fcgst, kannst du erzwingen, dass deine Webseite \u00fcber das HTTPS-Protokoll geladen wird. So kannst du deine Webseite<\/a> vor Cookie-Hijacking und Protokollangriffen sch\u00fctzen<\/a>. Da du m\u00f6glicherweise eine Umleitung aus dem Ladevorgang herausnimmst, kann deine Seite auch schneller laden<\/a>.<\/p>\nEs kann sein, dass dieser Fehler bei dir noch nicht aufgetreten ist, du dir aber trotzdem Gedanken \u00fcber HSTS machst. Wenn du dir nicht sicher bist, ob du HSTS aktiviert hast, kannst du deine Webseite mit einem Tool wie Security Headers<\/a> \u00fcberpr\u00fcfen. Gib einfach die URL deiner Webseite ein und klicke dann auf Scannen.<\/strong><\/p>\n![\"Die](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/12\/security-headers-scan.png\")
Scanne deine Website mit Security Headers<\/figcaption><\/figure>\nSecurity Headers pr\u00fcft deine Webseite und zeigt alle verwendeten Header im Bereich Headers <\/strong>an. Wenn Strict-Transport-Security auftaucht, ist deine Seite gesch\u00fctzt. Wenn dieser Header jedoch nicht aufgef\u00fchrt ist, haben wir noch etwas zu tun.<\/p>\nWie du den Fehler „HSTS fehlt auf dem HTTPS-Server“ behebst (in 5 Schritten)<\/h2>\n
F\u00fcr Hacker ist die HSTS-Schwachstelle die perfekte Gelegenheit, um Daten zu stehlen oder deine Besucher zu gef\u00e4hrlichen Aktionen zu verleiten. Hier erf\u00e4hrst du, wie du die HSTS-Richtlinie aktivierst und deine Website sicher machst.<\/p>\n
Schritt 1: Erstelle ein manuelles Backup<\/h3>\n
Die Aktivierung der HSTS-Richtlinie stellt eine erhebliche Ver\u00e4nderung deiner Webseite dar. Aus diesem Grund empfehlen wir dir, ein On-Demand-Backup zu erstellen<\/a>, bevor du fortf\u00e4hrst. So hast du die M\u00f6glichkeit, deine Webseite wiederherzustellen, falls bei der Aktivierung von HSTS Probleme auftreten sollten.<\/p>\nBei Kinsta bieten wir t\u00e4gliche automatische WordPress-Backups an. Trotzdem ist es ratsam, ein manuelles Backup zu erstellen, bevor du gr\u00f6\u00dfere \u00c4nderungen vornimmst. Um dieses Sicherheitsnetz zu erstellen, logge dich in dein MyKinsta-Dashboard<\/a> ein und w\u00e4hle die betreffende Webseite aus. Dann klickst du auf den Reiter Backups<\/strong>.<\/p>\n![\"Finde](\"https:\/\/kinsta.com\/de\/wp-content\/uploads\/sites\/5\/2022\/01\/mykinsta-daily-backup-1.png\")
Finde den Reiter Backups in MyKinsta<\/figcaption><\/figure>\nW\u00e4hle als n\u00e4chstes die Registerkarte Manuell<\/strong>. Suche die Schaltfl\u00e4che “ Jetzt sichern<\/strong> “ und klicke sie an.<\/p>\n![\"Klicke](\"https:\/\/kinsta.com\/de\/wp-content\/uploads\/sites\/5\/2022\/01\/mykinsta-manual-backups.png\")
Klicke auf die Schaltfl\u00e4che „Jetzt sichern“<\/figcaption><\/figure>\nDu kannst nun eine kurze Notiz zu deinem Backup hinzuf\u00fcgen. So kannst du es in deinem MyKinsta-Dashboard leichter identifizieren.<\/p>\n
Klicke abschlie\u00dfend auf “ Backup erstellen<\/strong>„. Jetzt wird dein Backup erstellt und zu deinem Dashboard hinzugef\u00fcgt.<\/p>\nSchritt 2: Einrichten einer HTTP-zu-HTTPS-Umleitung<\/h3>\n
Bevor du die HSTS-Richtlinie aktivierst, musst du ein SSL-Zertifikat<\/a> f\u00fcr deine Webseite einrichten. Bei Kinsta sch\u00fctzen wir alle verifizierten Domains automatisch mit unserer Cloudflare-Integration<\/a>. Dazu geh\u00f6ren kostenlose SSL-Zertifikate mit Wildcard-Unterst\u00fctzung<\/a>. Wenn du kein spezielles Zertifikat ben\u00f6tigst, musst du dich nicht um die manuelle Konfiguration von SSL k\u00fcmmern.<\/p>\nAls N\u00e4chstes musst du eine HTTP-zu-HTTPS-Umleitung einrichten, falls du das nicht schon getan hast. Um diese Umleitung einzurichten, logge dich einfach in dein MyKinsta-Dashboard ein und w\u00e4hle deine Webseite aus. Dann klickst du auf Werkzeuge.<\/strong><\/p>\n![\"Finde](\"https:\/\/kinsta.com\/de\/wp-content\/uploads\/sites\/5\/2022\/01\/mykinsta-tools.png\")
Finde den Reiter „Werkzeuge“ in MyKinsta und klicke darauf<\/figcaption><\/figure>\nKlicke im Abschnitt “ HTTPS erzwingen<\/strong> “ auf die Schaltfl\u00e4che “ Aktivieren“<\/strong>. Du kannst nun w\u00e4hlen, ob du deine prim\u00e4re Domain als Ziel verwenden willst oder eine alternative Domain. Nachdem du diese Entscheidung getroffen hast, w\u00e4hle HTTPS erzwingen<\/strong>.<\/p>\nWenn du Proxys von Drittanbietern verwendest oder benutzerdefinierte HTTPS-Regeln einrichtest, kann das Erzwingen von HTTPS zu Fehlern oder anderem seltsamen Verhalten f\u00fchren. Wenn du Probleme hast, kannst du dich jederzeit an unser Support-Team wenden<\/a>, das dir gerne weiterhilft.<\/p>\nWenn dein Webserver mit Nginx l\u00e4uft<\/a>, kannst du deinen gesamten HTTP-Traffic auf HTTPS umleiten. F\u00fcge einfach den folgenden Code<\/a> zu deiner Nginx-Konfigurationsdatei hinzu:<\/p>\nserver {\n\nlisten 80;\n\nserver_name domain.com www.domain.com;\n\nreturn 301 https:\/\/domain.com$request_uri;\n\n}<\/code><\/pre>\nWenn du ein Kinsta-Kunde bist, k\u00f6nnen wir diese \u00c4nderung auch f\u00fcr dich vornehmen. Er\u00f6ffne einfach ein Support-Ticket<\/a> und teile uns mit, welche Domain umgeleitet werden muss, und wir k\u00fcmmern uns um den Rest.<\/p>\nSchritt 3: Hinzuf\u00fcgen des HSTS-Headers<\/h3>\n
Es gibt verschiedene Arten von Direktiven<\/a> und Sicherheitsstufen, die du auf deinen HSTS-Header anwenden kannst. Wir empfehlen jedoch, die max-age-Direktive hinzuzuf\u00fcgen, da diese die Zeit in Sekunden festlegt, f\u00fcr die der Webserver \u00fcber HTTPS liefern soll. Dadurch wird der Zugriff auf Seiten oder Subdomains gesperrt, die nur \u00fcber HTTP ausgeliefert werden k\u00f6nnen.<\/p>\nWenn du einen Apache-Server<\/a> verwendest, musst du deine virtuelle Hosts-Datei \u00f6ffnen. Dann kannst du Folgendes hinzuf\u00fcgen:<\/p>\nHeader always set Strict-Transport-Security max-age=31536000<\/code><\/pre>\nBei Kinsta verwenden wir Nginx-Server. Wenn du ein Kinsta-Kunde bist, kannst du Folgendes zu deiner Nginx-Konfigurationsdatei hinzuf\u00fcgen:<\/p>\n
add_header Strict-Transport-Security \"max-age=31536000; includeSubDomains; preload\";<\/code><\/pre>\nWie immer k\u00f6nnen wir die ganze Arbeit f\u00fcr dich erledigen. Er\u00f6ffne einfach ein Support-Ticket und bitte uns, einen HSTS-Header zu deiner Webseite hinzuzuf\u00fcgen. Unser Team wird diese \u00c4nderung gerne an deiner Nginx-Datei vornehmen.<\/p>\n
Schritt 4: Trage deine Webseite in die HSTS-Preload-Liste ein<\/h3>\n
Es gibt einen gro\u00dfen Nachteil der HSTS-Richtlinie. Ein Browser muss mindestens einmal auf den HSTS-Header sto\u00dfen, bevor er ihn f\u00fcr zuk\u00fcnftige Besuche verwenden kann. Das bedeutet, dass dein Publikum mindestens einmal den Umleitungsprozess von HTTP zu HTTPS durchlaufen muss. W\u00e4hrend dieser Zeit sind sie anf\u00e4llig f\u00fcr protokollbasierte Angriffe.<\/p>\n
Um diese Sicherheitsl\u00fccke zu schlie\u00dfen, hat Google die HSTS-Preload-Liste<\/a> erstellt. In dieser Liste sind alle Webseiten aufgef\u00fchrt, die HSTS unterst\u00fctzen, und diese Liste ist in Chrome fest einprogrammiert. Wenn du deine Webseite zu dieser Liste hinzuf\u00fcgst, m\u00fcssen Besucher\/innen keine HTTPS-Umleitung mehr durchf\u00fchren.<\/p>\nDie meisten gro\u00dfen Internetbrowser haben ihre eigenen HSTS-Vorladelisten, die auf der Liste von Chrome basieren. Um in diese Liste aufgenommen zu werden, muss deine Webseite die Anmeldekriterien<\/a> erf\u00fcllen. Die gute Nachricht ist, dass wir all diese Anforderungen bereits erf\u00fcllt haben, sodass du deine Webseite f\u00fcr die HSTS-Preload-Liste anmelden kannst.<\/p>\nWenn du es auf diese Liste geschafft hast, warnen dich einige Suchmaschinenoptimierungs-Tools (SEO)<\/a> m\u00f6glicherweise vor 307 Weiterleitungen<\/a>. Diese Weiterleitungen treten auf, wenn jemand versucht, \u00fcber ein ungesichertes HTTP-Protokoll auf deine Webseite zuzugreifen. Dies l\u00f6st eine 307-Weiterleitung anstelle einer permanenten 301-Weiterleitung<\/a> aus. Wenn du dir dar\u00fcber Sorgen machst, kannst du mit httpstatus<\/a> deine Webseite scannen und \u00fcberpr\u00fcfen, ob eine 301-Weiterleitung stattfindet.<\/p>\nSchritt 5. \u00dcberpr\u00fcfe deinen Strict-Transport-Security Header<\/h3>\n
Nachdem du den HSTS-Header hinzugef\u00fcgt hast, solltest du pr\u00fcfen, ob er richtig funktioniert. Diese Pr\u00fcfung kannst du mit den integrierten Webtools deines Browsers durchf\u00fchren.<\/p>\n
Eine Einf\u00fchrung in den Fehler „HSTS fehlt auf dem HTTPS-Server“<\/h2>\n
Um die Sicherheit der Besucher zu gew\u00e4hrleisten, ist es nicht ungew\u00f6hnlich, dass Webseiten eine HTTPS-Umleitung einrichten<\/a>. Diese Umleitung leitet die Besucher von einer HTTP- zu einer HTTPS-Version der Webseite um.<\/p>\n Ein Nutzer kann explizit HTTP in die Adresszeile seines Browsers eingeben oder einem Link folgen, der auf eine HTTP-Version der Webseite verweist. In diesen F\u00e4llen kann eine Umleitung verhindern, dass b\u00f6swillige Dritte die Daten der Besucher\/innen stehlen.<\/p>\n Allerdings ist keine Technologie perfekt. Wenn deine Webseite HTTPS-Weiterleitungen verwendet, bist du m\u00f6glicherweise anf\u00e4llig f\u00fcr einen Man-In-The-Middle (MITM)-Angriff, der als Secure Sockets Layer (SSL) Stripping<\/a> bekannt ist. Bei diesem Angriff blockiert der Hacker die Umleitungsanfrage und verhindert, dass der Browser deine Webseite \u00fcber das HTTPS-Protokoll l\u00e4dt. Das hat zur Folge, dass der Besucher \u00fcber HTTP auf deine Webseite zugreift, was es f\u00fcr Hacker viel einfacher macht, Daten zu stehlen.<\/p>\n Alternativ k\u00f6nnte der Angreifer die Weiterleitung abfangen und die Besucher auf eine Klonversion deiner Webseite umleiten. An diesem Punkt kann der Hacker alle Daten stehlen, die der Nutzer preisgibt, einschlie\u00dflich Passw\u00f6rter und Zahlungsinformationen. Manche Hacker versuchen auch, Besucher zum Herunterladen von Schadsoftware zu verleiten.<\/p>\n Es ist auch m\u00f6glich, dass Hacker ein Sitzungscookie \u00fcber eine ungesicherte Verbindung stehlen, was als Cookie-Hijacking bekannt ist. Diese Cookies k\u00f6nnen eine Vielzahl von Informationen enthalten, darunter Benutzernamen, Passw\u00f6rter und sogar Kreditkartendaten.<\/p>\n Um deine Besucher vor diesen Angriffen zu sch\u00fctzen, empfehlen wir, HTTP Strict Transport Security (HSTS)<\/a> zu aktivieren. Dieses Protokoll zwingt den Browser dazu, direkte Anfragen zu ignorieren und deine Webseite \u00fcber HTTPS zu laden.<\/p>\n\n HSTS ist eine Serverrichtlinie und eine Web-Sicherheitspolitik. HSTS wurde von der Internet Engineering Task Force (IETF) in RFC 6797<\/a> spezifiziert und legt fest, wie User Agents und Webbrowser ihre Verbindungen zu einer Webseite, die \u00fcber HTTPS l\u00e4uft, behandeln sollen.<\/p>\n Manchmal meldet ein IT-Sicherheitsscan, dass auf deiner Webseite „HSTS“ oder „HTTP Strict Transport Security“-Header fehlen. Wenn du diese Fehlermeldung erh\u00e4ltst, verwendet deine Webseite kein HSTS, was bedeutet, dass deine HTTPS-Weiterleitungen deine Besucher\/innen m\u00f6glicherweise gef\u00e4hrden.<\/p>\n Diese Schwachstelle wird als mittelschweres Risiko eingestuft. Sie ist jedoch sehr verbreitet und stellt f\u00fcr Angreifer ein leichtes Opfer<\/a> dar. Wenn du diesen Fehler entdeckst, musst du ihn unbedingt beheben.<\/p>\n Indem du den HSTS-Sicherheitsheader zu deinem Server hinzuf\u00fcgst, kannst du erzwingen, dass deine Webseite \u00fcber das HTTPS-Protokoll geladen wird. So kannst du deine Webseite<\/a> vor Cookie-Hijacking und Protokollangriffen sch\u00fctzen<\/a>. Da du m\u00f6glicherweise eine Umleitung aus dem Ladevorgang herausnimmst, kann deine Seite auch schneller laden<\/a>.<\/p>\n Es kann sein, dass dieser Fehler bei dir noch nicht aufgetreten ist, du dir aber trotzdem Gedanken \u00fcber HSTS machst. Wenn du dir nicht sicher bist, ob du HSTS aktiviert hast, kannst du deine Webseite mit einem Tool wie Security Headers<\/a> \u00fcberpr\u00fcfen. Gib einfach die URL deiner Webseite ein und klicke dann auf Scannen.<\/strong><\/p>\n Security Headers pr\u00fcft deine Webseite und zeigt alle verwendeten Header im Bereich Headers <\/strong>an. Wenn Strict-Transport-Security auftaucht, ist deine Seite gesch\u00fctzt. Wenn dieser Header jedoch nicht aufgef\u00fchrt ist, haben wir noch etwas zu tun.<\/p>\n F\u00fcr Hacker ist die HSTS-Schwachstelle die perfekte Gelegenheit, um Daten zu stehlen oder deine Besucher zu gef\u00e4hrlichen Aktionen zu verleiten. Hier erf\u00e4hrst du, wie du die HSTS-Richtlinie aktivierst und deine Website sicher machst.<\/p>\n Die Aktivierung der HSTS-Richtlinie stellt eine erhebliche Ver\u00e4nderung deiner Webseite dar. Aus diesem Grund empfehlen wir dir, ein On-Demand-Backup zu erstellen<\/a>, bevor du fortf\u00e4hrst. So hast du die M\u00f6glichkeit, deine Webseite wiederherzustellen, falls bei der Aktivierung von HSTS Probleme auftreten sollten.<\/p>\n Bei Kinsta bieten wir t\u00e4gliche automatische WordPress-Backups an. Trotzdem ist es ratsam, ein manuelles Backup zu erstellen, bevor du gr\u00f6\u00dfere \u00c4nderungen vornimmst. Um dieses Sicherheitsnetz zu erstellen, logge dich in dein MyKinsta-Dashboard<\/a> ein und w\u00e4hle die betreffende Webseite aus. Dann klickst du auf den Reiter Backups<\/strong>.<\/p>\n W\u00e4hle als n\u00e4chstes die Registerkarte Manuell<\/strong>. Suche die Schaltfl\u00e4che “ Jetzt sichern<\/strong> “ und klicke sie an.<\/p>\n Du kannst nun eine kurze Notiz zu deinem Backup hinzuf\u00fcgen. So kannst du es in deinem MyKinsta-Dashboard leichter identifizieren.<\/p>\n Klicke abschlie\u00dfend auf “ Backup erstellen<\/strong>„. Jetzt wird dein Backup erstellt und zu deinem Dashboard hinzugef\u00fcgt.<\/p>\n Bevor du die HSTS-Richtlinie aktivierst, musst du ein SSL-Zertifikat<\/a> f\u00fcr deine Webseite einrichten. Bei Kinsta sch\u00fctzen wir alle verifizierten Domains automatisch mit unserer Cloudflare-Integration<\/a>. Dazu geh\u00f6ren kostenlose SSL-Zertifikate mit Wildcard-Unterst\u00fctzung<\/a>. Wenn du kein spezielles Zertifikat ben\u00f6tigst, musst du dich nicht um die manuelle Konfiguration von SSL k\u00fcmmern.<\/p>\n Als N\u00e4chstes musst du eine HTTP-zu-HTTPS-Umleitung einrichten, falls du das nicht schon getan hast. Um diese Umleitung einzurichten, logge dich einfach in dein MyKinsta-Dashboard ein und w\u00e4hle deine Webseite aus. Dann klickst du auf Werkzeuge.<\/strong><\/p>\n Klicke im Abschnitt “ HTTPS erzwingen<\/strong> “ auf die Schaltfl\u00e4che “ Aktivieren“<\/strong>. Du kannst nun w\u00e4hlen, ob du deine prim\u00e4re Domain als Ziel verwenden willst oder eine alternative Domain. Nachdem du diese Entscheidung getroffen hast, w\u00e4hle HTTPS erzwingen<\/strong>.<\/p>\n Wenn du Proxys von Drittanbietern verwendest oder benutzerdefinierte HTTPS-Regeln einrichtest, kann das Erzwingen von HTTPS zu Fehlern oder anderem seltsamen Verhalten f\u00fchren. Wenn du Probleme hast, kannst du dich jederzeit an unser Support-Team wenden<\/a>, das dir gerne weiterhilft.<\/p>\n Wenn dein Webserver mit Nginx l\u00e4uft<\/a>, kannst du deinen gesamten HTTP-Traffic auf HTTPS umleiten. F\u00fcge einfach den folgenden Code<\/a> zu deiner Nginx-Konfigurationsdatei hinzu:<\/p>\n Wenn du ein Kinsta-Kunde bist, k\u00f6nnen wir diese \u00c4nderung auch f\u00fcr dich vornehmen. Er\u00f6ffne einfach ein Support-Ticket<\/a> und teile uns mit, welche Domain umgeleitet werden muss, und wir k\u00fcmmern uns um den Rest.<\/p>\n Es gibt verschiedene Arten von Direktiven<\/a> und Sicherheitsstufen, die du auf deinen HSTS-Header anwenden kannst. Wir empfehlen jedoch, die max-age-Direktive hinzuzuf\u00fcgen, da diese die Zeit in Sekunden festlegt, f\u00fcr die der Webserver \u00fcber HTTPS liefern soll. Dadurch wird der Zugriff auf Seiten oder Subdomains gesperrt, die nur \u00fcber HTTP ausgeliefert werden k\u00f6nnen.<\/p>\n Wenn du einen Apache-Server<\/a> verwendest, musst du deine virtuelle Hosts-Datei \u00f6ffnen. Dann kannst du Folgendes hinzuf\u00fcgen:<\/p>\n Bei Kinsta verwenden wir Nginx-Server. Wenn du ein Kinsta-Kunde bist, kannst du Folgendes zu deiner Nginx-Konfigurationsdatei hinzuf\u00fcgen:<\/p>\n Wie immer k\u00f6nnen wir die ganze Arbeit f\u00fcr dich erledigen. Er\u00f6ffne einfach ein Support-Ticket und bitte uns, einen HSTS-Header zu deiner Webseite hinzuzuf\u00fcgen. Unser Team wird diese \u00c4nderung gerne an deiner Nginx-Datei vornehmen.<\/p>\n Es gibt einen gro\u00dfen Nachteil der HSTS-Richtlinie. Ein Browser muss mindestens einmal auf den HSTS-Header sto\u00dfen, bevor er ihn f\u00fcr zuk\u00fcnftige Besuche verwenden kann. Das bedeutet, dass dein Publikum mindestens einmal den Umleitungsprozess von HTTP zu HTTPS durchlaufen muss. W\u00e4hrend dieser Zeit sind sie anf\u00e4llig f\u00fcr protokollbasierte Angriffe.<\/p>\n Um diese Sicherheitsl\u00fccke zu schlie\u00dfen, hat Google die HSTS-Preload-Liste<\/a> erstellt. In dieser Liste sind alle Webseiten aufgef\u00fchrt, die HSTS unterst\u00fctzen, und diese Liste ist in Chrome fest einprogrammiert. Wenn du deine Webseite zu dieser Liste hinzuf\u00fcgst, m\u00fcssen Besucher\/innen keine HTTPS-Umleitung mehr durchf\u00fchren.<\/p>\n Die meisten gro\u00dfen Internetbrowser haben ihre eigenen HSTS-Vorladelisten, die auf der Liste von Chrome basieren. Um in diese Liste aufgenommen zu werden, muss deine Webseite die Anmeldekriterien<\/a> erf\u00fcllen. Die gute Nachricht ist, dass wir all diese Anforderungen bereits erf\u00fcllt haben, sodass du deine Webseite f\u00fcr die HSTS-Preload-Liste anmelden kannst.<\/p>\n Wenn du es auf diese Liste geschafft hast, warnen dich einige Suchmaschinenoptimierungs-Tools (SEO)<\/a> m\u00f6glicherweise vor 307 Weiterleitungen<\/a>. Diese Weiterleitungen treten auf, wenn jemand versucht, \u00fcber ein ungesichertes HTTP-Protokoll auf deine Webseite zuzugreifen. Dies l\u00f6st eine 307-Weiterleitung anstelle einer permanenten 301-Weiterleitung<\/a> aus. Wenn du dir dar\u00fcber Sorgen machst, kannst du mit httpstatus<\/a> deine Webseite scannen und \u00fcberpr\u00fcfen, ob eine 301-Weiterleitung stattfindet.<\/p>\n Nachdem du den HSTS-Header hinzugef\u00fcgt hast, solltest du pr\u00fcfen, ob er richtig funktioniert. Diese Pr\u00fcfung kannst du mit den integrierten Webtools deines Browsers durchf\u00fchren.<\/p>\nDas HSTS-Protokoll (und warum du es nutzen solltest)<\/h3>\n
Wie du den Fehler „HSTS fehlt auf dem HTTPS-Server“ behebst (in 5 Schritten)<\/h2>\n
Schritt 1: Erstelle ein manuelles Backup<\/h3>\n
Schritt 2: Einrichten einer HTTP-zu-HTTPS-Umleitung<\/h3>\n
server {\n\nlisten 80;\n\nserver_name domain.com www.domain.com;\n\nreturn 301 https:\/\/domain.com$request_uri;\n\n}<\/code><\/pre>\nSchritt 3: Hinzuf\u00fcgen des HSTS-Headers<\/h3>\n
Header always set Strict-Transport-Security max-age=31536000<\/code><\/pre>\nadd_header Strict-Transport-Security \"max-age=31536000; includeSubDomains; preload\";<\/code><\/pre>\nSchritt 4: Trage deine Webseite in die HSTS-Preload-Liste ein<\/h3>\n
Schritt 5. \u00dcberpr\u00fcfe deinen Strict-Transport-Security Header<\/h3>\n
![\"Kinsta-Startseite\"](\"https:\/\/kinsta.com\/wp-content\/uploads\/2021\/12\/google-chrome-devtools.png\")