1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
HSTS für eine Website/Hosting verwalten
Dieser Leitfaden erklärt, wie Sie HSTS für eine Website deaktivieren oder konfigurieren.
Einleitung
- wenn HSTS für eine Website aktiviert ist, teilt der Server dem Besucher der Website (wenn sein Webbrowser kompatibel ist) mit, dass alle unsicheren Links durch sichere Links ersetzt werden sollen
- Beispiel:
http://www.beispiel.com/eine/seite/wird automatisch durchhttps://www.beispiel.com/eine/seite/ersetzt - nach Aktivierung eines SSL-Zertifikats auf einer Website wird HSTS wie folgt konfiguriert:
max-age=16000000
HSTS deaktivieren
1. mit einem CMS (WordPress, Joomla usw.)
Fügen Sie die folgende Zeile in alle vom CMS generierten Seiten ein:
header( 'Strict-Transport-Security: max-age=0;' );Für WordPress ist es möglich, diese Direktive in die functions.php-Datei Ihres Themas einzufügen:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Weitere Details zu WordPress
2. mit einer PHP-Seite
Fügen Sie die folgende Zeile in alle PHP-Seiten ein:
header( 'Strict-Transport-Security: max-age=0;' );Um dies zu tun, ohne jede PHP-Seite einer Website bearbeiten zu müssen, können Sie die Direktive auto_prepend_file in die .user.ini-Datei der betreffenden Website einfügen:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... mit der folgenden hsts_disable.php-Datei:
header( 'Strict-Transport-Security: max-age=0;' );3. mit einer statischen Inhaltsseite (nicht PHP)
Fügen Sie diesen Header in eine .htaccess-Datei ein:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSHSTS anpassen
Der Standardwert kann in Ihren PHP-Dateien der Website mit der folgenden Direktive geändert werden:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X ist die gewünschte Anzahl an Sekunden)
HSTS für alle gehosteten Subdomains aktivieren
includeSubDomains; ist standardmäßig aktiviert und wie der Name schon sagt, wird es die Subdomains in die "Strict Transport Security" einbeziehen.
Wenn der Besucher zu einer unsicheren Subdomain geht, wird der Browser automatisch auf HTTPS umgeleitet und verursacht einen Sicherheitsfehler.
Wenn dieses Verhalten nicht gewünscht ist, sollte dieser Header entfernt werden.
HSTS-Cache des Browsers löschen
Um dies zu tun:
- in Chrome, tippen Sie chrome://net-internals/#hsts
- geben Sie den Domainnamen im Textfeld des Abschnitts "Delete domain security policies" ein
- klicken Sie auf die Schaltfläche Löschen
- geben Sie den Domainnamen im Textfeld des Abschnitts "Query HSTS" ein
- klicken Sie auf die Schaltfläche Abfrage
- die Antwort sollte "Not found" (nicht gefunden) sein
- mit Safari, schließen Sie zuerst den Browser
- löschen Sie die Datei ~/Library/Cookies/HSTS.plist
- öffnen Sie Safari erneut
- mit Firefox, schließen Sie alle Registerkarten
- öffnen Sie das Firefox-Menü und klicken Sie auf Verlauf / Verlauf anzeigen.
- suche nach der Seite, für die Sie die HSTS-Einstellungen löschen möchten
- klicken Sie mit der rechten Maustaste auf einen der entsprechenden Einträge
- wählen Sie Diese Website vergessen