HSTS (HTTP Strict Transport Security) is een beveiligingsmechanisme waarmee je afdwingt dat je website uitsluitend via HTTPS wordt benaderd. Dit voorkomt dat bezoekers per ongeluk of via een aanval op een onbeveiligde HTTP-versie terechtkomen.
Hoewel je via redirects in je .htaccess bestand HTTPS kunt afdwingen, blijft het technisch mogelijk om HTTP en HTTPS door elkaar te gebruiken. Met HSTS forceer je de browser om alleen HTTPS toe te staan, zelfs bij een directe invoer van een HTTP-link.
Voorwaarden voor HSTS
Je kunt HSTS alleen gebruiken als:
- Je een SSL-certificaat hebt geïnstalleerd op je domein
- Je website volledig via HTTPS draait
Wat doet HSTS precies?
- De browser controleert of de verbinding via HTTPS verloopt
- Bij een HTTP-verzoek wordt automatisch doorgestuurd naar HTTPS
- Als er geen beveiligde verbinding beschikbaar is, krijgt de bezoeker een foutmelding
- HSTS voorkomt ‘man-in-the-middle’-aanvallen door te voorkomen dat verkeer wordt omgeleid naar een onbeveiligde pagina
HSTS activeren via .htaccess
Plaats onderstaande regel bovenaan in je .htaccess bestand:Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Wil je HSTS ook op de subdomeinen toepassen? Gebruik dan onderstaande code.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Op https://geekflare.com/tools/hsts-test kun je testen of HSTS actief is voor jouw site (score A).