Wat is HTST?
Een term die je snel tegenkomt als je bezig bent met de veiligheid van je website of webapplicatie is HTST, HTTP Strict-Transport-Security. Dit is een techniek die ervoor zorgt dat een website altijd over de beveiligde HTTPS-verbinding wordt bezocht. Het dwingt de browser om een veilige verbinding te gebruiken en elke onbeveiligde HTTP-verzoek automatisch om te leiden naar HTTPS.
Het is verstandig om HSTS te gebruiken om verschillende redenen. Ten eerste biedt het een extra laag beveiliging voor uw website en beschermt het gebruikers tegen aanvallen zoals man-in-the-middle (MITM) en cookie diefstal. HSTS verzekert dat alle communicatie tussen de browser en de server wordt gecodeerd en beschermt dus tegen afluisteren en manipulatie van gegevens. Het verhoogt ook de betrouwbaarheid van uw website omdat het laat zien dat u zich inzet voor de beveiliging van uw bezoekers.
Wat is het verschil tussen HSTS en een redirect naar HTTPS?
Op veel websites wordt gebruik gemaakt van een redirect van http:// naar https://, om een beveiligde verbinding af te dwingen. Dat lijkt misschien hetzelfde effect te hebben als het gebruik van HSTS, maar er is een belangrijk verschil. Wanneer je gebruik maakt van HSTS, dwingt de browser van de bezoeker het gebruik van HTTPS af. Bij het gebruik van een redirect van http:// naar https://, is het enkel de verantwoordelijkheid van de webserver om te zorgen dat de bezoeker een beveiligde verbinding krijgt. Voor optimale veiligheid wil je op beide niveaus het gebruik van https afdwingen.
Hoe implementeer ik HSTS?
- Open het bestand .htaccess, dat zich in de map public_html van je hostingaccount bevindt.
- Voeg de volgende regel code toe aan het bestand:Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”Dit is de regel die HSTS activeert en de browser van de gebruiker instrueert om HTTPS te gebruiken voor alle toekomstige verzoeken naar de website.
Er zijn drie delen in deze regel code:
– “max-age=31536000” geeft aan hoe lang (in seconden) de browser de instructie moet volgen om HTTPS te gebruiken. In dit geval is dat één jaar (31536000 seconden).
– “includeSubDomains” geeft aan dat de HSTS-instructie ook moet gelden voor alle subdomeinen van de website.
– “preload” geeft aan dat de website kan worden toegevoegd aan de HSTS-preloadlijst van de browser. Dit is een lijst van websites die standaard HTTPS gebruiken en die vooraf in de browser zijn opgenomen. - Sla het .htaccess-bestand op.
- Test of HSTS correct is geactiveerd op de website met behulp van een online tool zoals https://geekflare.com/tools/hsts-test.
Wil je graag hulp bij het implementeren van HSTS? Neem contact met ons op, we helpen je graag!