Terug naar begrippenlijst
Strict-Transport-Security (HSTS)
Strict-Transport-Security (HSTS) is een beveiligingsinstelling die ervoor zorgt dat je website altijd via HTTPS wordt geopend. Ook als iemand per ongeluk alleen “http://” intypt of een oude link aanklikt, schakelt de browser automatisch door naar de veilige, versleutelde versie. Weg met onveilige verbindingen doordat browsers automatisch kiezen voor de veilige route.
Inhoudsopgave
Waarom HTTPS soms niet genoeg is
Veel websites hebben inmiddels een SSL-certificaat en draaien dus op HTTPS. Maar dat betekent nog niet dat bezoekers daar automatisch terechtkomen. Soms opent een browser eerst een onveilige HTTP-verbinding voordat hij doorschakelt. En juist in die fractie van een seconde kunnen aanvallers proberen data te onderscheppen.
Met HSTS sluit je dat lek: de browser krijgt de instructie om nooit meer HTTP te gebruiken voor jouw domein.
De techniek die je nooit ziet, maar altijd werkt
Wanneer een bezoeker je website opent, stuurt de server een speciale HTTP-header mee: de HSTS-header. Daarin staat dat de browser jouw site voortaan alleen nog via HTTPS mag benaderen. De browser onthoudt dit voor een bepaalde periode, bijvoorbeeld een jaar.
Er bestaat zelfs een zogenaamde HSTS preload list waarin je je domein kunt laten opnemen. Bekende browsers weten dan al vooraf dat jouw site uitsluitend via HTTPS bereikbaar is.
Meer vertrouwen bij elke klik
Je bezoekers merken weinig tot niets van dit HSTS-proces, behalve dat de verbinding altijd veilig is. Maar onder de motorkap maakt het een wereld van verschil: geen risico op zogenaamde man-in-the-middle attacks en meer vertrouwen dat gevoelige gegevens (zoals wachtwoorden of betaalinformatie) beschermd zijn.
Daarnaast straalt het professionaliteit en betrouwbaarheid uit. Niemand wil zaken doen met een site die onveilig oogt.
De keerzijde van streng beveiligen
HSTS is krachtig, maar vraagt wel om een goed ingerichte HTTPS-omgeving. Zodra je HSTS instelt, is er geen weg meer terug: alle verbindingen lopen dan via HTTPS. Dat betekent dat je certificaat altijd geldig moet zijn en dat je serverconfiguratie op orde moet zijn. Een verlopen certificaat blokkeert anders direct de toegang tot je site.
Veelgestelde vragen
HSTS is een beveiligingsmechanisme dat browsers dwingt om altijd via HTTPS met je site te verbinden. Daarmee sluit je de achterdeur voor onveilige HTTP-verbindingen.
Niet helemaal. Zonder HSTS kan een browser toch nog een onveilige HTTP-verbinding proberen voordat hij doorstuurt. HSTS zorgt dat dat helemaal niet meer gebeurt.
Dat is een lijst van domeinen die standaard in browsers zijn opgenomen, zoals “alleen HTTPS”. Als jouw site erop staat, weet de browser dus altijd vooraf dat hij HTTP moet vermijden.
Ja, als je SSL-certificaat verloopt of verkeerd is ingesteld. Daarom is het cruciaal dat je beveiligingscertificaten altijd geldig en goed geconfigureerd zijn.
Thijn de Haas Lead developer
Gerelateerde begrippen
- Abstraction
- Adapter pattern
- Appstore
- Authenticatie
- Big data
- ChatGPT
- Content-Security-Policy
- Cross-Site Scripting
- Data cleaning
- Debugging
- DRY
- Factory pattern
- Git
- Internet of Things
- JSON
- OAuth
- Prototypes
- Rubber duck debugging
- Server-side scripting
- Software Requirements Specification
- Sprint planning
- SQL
- Structured data
- XPath
