HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) är en serverinställning som säkerställer en säker anslutning.

Genom att använda HSTS kommer webbläsaren att kontrollera om en säker anslutning via HTTPS till den besökta webbsidan är gjord. Om så inte är fallet, omdirigeras besökare automatiskt från http till https, och därmed till den säkra versionen av webbplatsen. Om ingen säker anslutning är tillgänglig kommer besökaren att se ett felmeddelande och webbläsaren avvisar anslutningen. Att använda HSTS kan förhindra "man-in-the-middle" -attacker, eftersom en webbplats på detta sätt inte kan omdirigeras till en osäker sida.

För att använda HSTS, omdirigeras alla osäkrade anslutningar till den säkra varianten, sedan är en särskild HSTS-header inställd och instruerar webbläsaren att göra HTTPS-anslutningar till den här domänen från och med nu. Inställningen "max-age" gör det möjligt att ange hur länge anslutningen ska göras via HTTPS. Inställningen IncludeSubdomains gör HSTS-rubriken aktiv för alla subdomäner av den besökta domänen.

Nackdelen med HSTS är att den ännu inte stöds av alla webbläsare; till exempel, i skrivande stund fungerar det inte för Internet Explorer och Safari.

Browser Stöd från
Internet Explorer 12
Opera 12
Firefox 4
Safari Mavericks (OSX 10.9)
Chrome 4.0.211.0

Konfigurera HSTS

Konfigurationen av HSTS skiljer sig per webbserver

SSL-kontroll

SSLCheck kontrollerar om certifikatet är korrekt installerat på din server och om det finns potentiella problem.