Wat betekent HSTS?

HSTS staat voor HTTP Strict Transport Security. Het is een beveiligingsmaatregel voor websites die ervoor zorgt dat bezoekers alleen via een beveiligde verbinding (HTTPS) met de website kunnen communiceren. Dit voorkomt dat mensen die de website bezoeken onbewust via een onbeveiligde verbinding (HTTP) verbinding maken, wat hen kwetsbaar zou kunnen maken voor bepaalde cyberaanvallen, zoals ’man-in-the-middle’-aanvallen. Kortom, HSTS zorgt ervoor dat de communicatie tussen de gebruiker en de website altijd veilig is.

• HSTS implementeren
• Belangrijke aandachtspunten
• HSTS preload list

HSTS implementeren

Om HSTS (HTTP Strict Transport Security) eenvoudig te implementeren op een domeinnaam of subdomein, volgt u deze stappen:

1. Zorg voor een geldig SSL-certificaat: Voordat u HSTS implementeert, moet uw website een geldig SSL-certificaat hebben en correct werken via HTTPS.
2. Bewerk het .htaccess-bestand:
   • Open het .htaccess-bestand in de root-directory van uw website. Voor een domeinnaam bevindt dit bestand zich typisch in domains/voorbeeld.cc/public_html. Voor een subdomein vindt u het in domains/subdomein.voorbeeld.cc.
   • Als er nog geen .htaccess-bestand is, kunt u deze aanmaken in de desbetreffende directory.
3. Voeg de HSTS-regel toe:
   • Open het .htaccess-bestand met een teksteditor
   • Voeg de volgende regel toe aan het bestand:

     Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

     • max-age=31536000;M bepaalt hoe lang de browser moet onthouden om alleen HTTPS te gebruiken (in dit voorbeeld 1 jaar).
     • includeSubDomains; zorgt ervoor dat HSTS ook wordt toegepast op alle subdomeinen.
     • preload is optioneel en wordt gebruikt als u uw site wilt toevoegen aan de HSTS preload-lijst, een lijst die door browsers wordt gebruikt om te weten welke sites altijd via HTTPS moeten worden geladen.
4. Sla de wijzigingen op en sluit het bestand
5. Test uw website: Bezoek uw website om te zorgen dat deze nog steeds correct functioneert. U kunt ook tools zoals SSL Labs’ SSL Test gebruiken om te controleren of HSTS correct is geïmplementeerd.

Belangrijke aandachtspunten

Bij het instellen van HSTS (HTTP Strict Transport Security) zijn er enkele belangrijke tips en overwegingen:

1. SSL-certificaat: Zorg ervoor dat uw website een geldig SSL-certificaat heeft. Uw website moet volledig functioneren over HTTPS voordat u HSTS inschakelt.
2. Test eerst op een subdomein: Voordat u HSTS op uw hoofddomein instelt, kunt u het eerst testen op een subdomein om eventuele problemen te identificeren.
3. Gebruik een voorzichtige max-age waarde: De max-age waarde in de HSTS-header bepaalt hoe lang browsers moeten afdwingen dat uw site alleen via HTTPS wordt benaderd. Begin met een lagere waarde, bijvoorbeeld 300 seconden (5 minuten), en verhoog deze geleidelijk wanneer u zeker weet dat alles goed werkt.
4. Overweeg de includeSubDomains-directive: Deze optie zorgt ervoor dat HSTS ook van toepassing is op alle subdomeinen. Wees hier voorzichtig mee, vooral als sommige subdomeinen nog niet via HTTPS werken.
5. Vermijd het gebruik van de preload-directive totdat u zeker bent: Preloading betekent dat uw domein wordt toegevoegd aan een lijst die door browsers wordt gebruikt om altijd HTTPS af te dwingen, zelfs bij het eerste bezoek. Dit kan niet eenvoudig ongedaan worden gemaakt, dus zorg dat u volledig voorbereid bent.
6. Grondige tests: Test uw volledige website (inclusief subdomeinen) na het activeren van HSTS om te verzekeren dat alle bronnen correct over HTTPS worden geladen.
7. Houd rekening met externe bronnen: Zorg ervoor dat alle externe bronnen (zoals scripts of stylesheets) die uw website laadt, ook via HTTPS beschikbaar zijn.
8. Monitor uw website: Blijf uw website monitoren na het activeren van HSTS om eventuele toegangsproblemen of fouten snel te kunnen oplossen.
9. Documenteer uw instellingen: Houd bij wat u heeft gewijzigd, zodat u deze instellingen indien nodig gemakkelijk kunt herzien of terugdraaien.

Door deze stappen zorgvuldig te volgen, kunt u ervoor zorgen dat HSTS correct wordt geïmplementeerd en dat uw websitebezoekers van een veiligere verbinding profiteren.

HSTS preload list

De HSTS preload-lijst is een lijst die wordt onderhouden en gebruikt door verschillende browsers (zoals Chrome, Firefox, Safari) om vooraf geconfigureerde HSTS-beleid te hebben voor specifieke domeinen.

Wanneer een domein aan deze lijst wordt toegevoegd, worden browsers geïnstrueerd om altijd een beveiligde (HTTPS) verbinding met dat domein te gebruiken, zelfs bij het eerste bezoek, voordat een HSTS-header van de server wordt ontvangen.

Waarom uw website toevoegen?

• Verbeterde beveiliging: Het zorgt ervoor dat gebruikers altijd een beveiligde verbinding met uw website hebben, wat hen beschermt tegen bepaalde soorten netwerkaanvallen, zoals man-in-the-middle-aanvallen.
• Sneller laden: Het voorkomt de initiële onbeveiligde HTTP-aanvraag voordat de browser wordt omgeleid naar HTTPS.

Wanneer toevoegen?

• Na grondige tests: Voeg uw domein pas toe aan de preload-lijst nadat u hebt geverifieerd dat uw gehele website correct werkt over HTTPS, inclusief alle subdomeinen en externe bronnen.
• Langetermijncommitment: Overweeg dit alleen als u van plan bent om HTTPS permanent te handhaven, omdat het verwijderen van uw domein uit de preload-lijst moeilijk en tijdrovend kan zijn.
• Volledige compatibiliteit: Zorg ervoor dat uw website volledig compatibel is met HTTPS, zonder gemengde inhoud (gemengde actieve inhoud of gemengde passieve inhoud).

Kortom, voeg uw site toe aan de HSTS preload-lijst voor verbeterde beveiliging en prestaties, maar alleen na zorgvuldige overweging en grondige tests om ervoor te zorgen dat uw site volledig compatibel is met HTTPS.

---

Bijgewerkt op: 10-01-2024