Mit HSTS können Server Administratoren zum Beispiel dem HTTP-Server vorgeben, dass die angebotenen Dienste ausschließlich über sichere, etwa per TLS verschlüsselte Verbindungen erreicht werden können.
HTTP Strict Transport Security (HSTS) wurde als Internet-Standard im RFC 6797 (November 2012) veröffentlicht. Es dient als Schutz vor Man-in-the-Middle-Proxy SSLStrip Angriffen (Moxie Marlinspike). Der Angriff funktioniert nur als Man-in-the-Middle-Attacke. Der Angreifer muss es somit schaffen, die Verbindungen seines Opfers über seinen Proxy umzuleiten.
Besser wäre es, wenn die HSTS-Informationen im jeweiligen DNS hinterlegt wären und man sie über die DNS-Sicherung wie DNSSEC abfragen könnte.
Beispiel Server Side Absicherung (Apache):
ServerAlias *
RewriteEngine On
RewriteRule ˆ(.*)$ https://%{HTTP_HOST}$1[redirect=301]
Die https Konfiguration benötigt folgende Ergänzung:
Header set Strict-Transport-Security „max-age=31536000; includeSubDomains“
Damit wird eine permanente Umleitung des Apache Webservers erreicht und eine mögliche Man-in-the-Middle-Attacke abgewehrt. Für unterschiedliche Webserver sind in den diversen Foren und Wikis ausführliche Anleitungen zu finden.
Bei einem Test der Website z.B. mit ssllabs sollte die Zeile:
This server supports HTTP Strict Transport Security with long duration. Grade set to A+
zu finden sein.
Zusammen bieten DNSSEC, PFS und HSTS einen sehr guten Schutz gegen Ausspähung und Datenverlust an Dritte.