1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
HSTS für eine Webseite/Hosting verwalten
Diese Anleitung erklärt, wie man HSTS deaktiviert oder konfiguriert für eine Webseite.
Vorwort
- Wenn HSTS für eine Website aktiviert ist, weist der Server den Besucher der Website (sofern sein Webbrowser kompatibel ist) an, alle unsicheren Links durch sichere Links zu ersetzen.
- Beispiel:
http://www.exemple.com/une/page/wird automatisch durchhttps://www.exemple.com/une/page/ersetzt. - Nach der Aktivierung eines SSL-Zertifikats für eine Website wird HSTS wie folgt konfiguriert:
max-age=16000000.
HSTS deaktivieren…
… mit einem CMS (WordPress, Joomla, etc.)
In alle vom CMS generierten Seiten die folgende Zeile einfügen:
header( 'Strict-Transport-Security: max-age=0;' );Für WordPress ist es z.B. möglich, diese Direktive in die Datei functions.php Ihres Themas einzufügen:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Mehr Details zu WordPress
… mit einer PHP-Website
Fügen Sie die folgende Zeile in alle PHP-Seiten ein:
header( 'Strict-Transport-Security: max-age=0;' );Um dies zu tun, ohne jede PHP-Seite einer Website zu ändern, kann die Direktive auto_prepend_file in der Datei .user.ini der betreffenden Website verwendet werden:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... mit der folgenden Datei hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );… mit einer statischen Website (nicht PHP)
Diesen Header in eine .htaccess-Datei einfügen:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSHSTS anpassen
Der Standardwert kann in Ihren PHP-Dateien Ihrer Website mit der folgenden Direktive geändert werden:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X ist die gewünschte Anzahl an Sekunden).
HSTS für alle gehosteten Subdomains aktivieren
includeSubDomains; ist standardmäßig aktiviert und wie der Name schon sagt, schließt es die Subdomains in die "Strict Transport Security" ein.
Wenn der Besucher eine nicht gesicherte Subdomain besucht, leitet der Browser automatisch zu HTTPS weiter und löst einen Sicherheitsfehler aus.
Falls dieses Verhalten nicht gewünscht ist, muss dieser Header entfernt werden.
Den HSTS-Cache des Browsers löschen…
… auf Chrome
- In Chrome, geben Sie chrome://net-internals/#hsts ein.
- Geben Sie den Domainnamen in das Textfeld im Abschnitt „Delete domain security policies“ ein.
- Klicken Sie auf die Schaltfläche Löschen.
- Geben Sie den Domainnamen in das Textfeld des Abschnitts „Query HSTS“ ein.
- Klicken Sie auf die Schaltfläche Abfragen.
- Die Antwort muss "
Not found" (nicht gefunden) sein.
… in Safari
- Mit Safari beginnen Sie damit, den Browser zu schließen.
- Löschen Sie die Datei
~/Library/Cookies/HSTS.plist. - Öffnen Sie Safari erneut.
… bei Firefox
- Mit Firefox, schließen Sie alle Registerkarten.
- Öffnen Sie das Menü von Firefox und klicken Sie auf Verlauf / Verlauf anzeigen.
- Suchen Sie die Seite, deren HSTS-Einstellungen Sie löschen möchten.
- Machen Sie einen Rechtsklick auf einen der entsprechenden Einträge.
- Wählen Sie Diese Seite vergessen.