1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
HSTS-Verwalten einer Website/Hosting
In diesem Leitfaden wird erläutert, wie HSTS deaktivieren oder einstellen für eine Website.
Präambel
- Wenn HSTS fĂĽr eine Website aktiviert ist, teilt der Server dem Website-Besucher (wenn sein Webbrowser kompatibel ist) mit, alle ungesicherten Links durch sichere Links zu ersetzen.
- Beispiel:
http://www.exemple.com/une/page/wird automatisch ersetzt durchhttps://www.exemple.com/une/page/. - Nach der Aktivierung eines SSL-Zertifikats auf einer Website wird das HSTS wie folgt konfiguriert:
max-age=16000000.
HSTS deaktivieren...
... mit einem CMS (WordPress, Joomla, etc.)
Auf allen Seiten, die vom CMS generiert werden, ist folgende Zeile einzufĂĽgen:
header( 'Strict-Transport-Security: max-age=0;' );Für WordPress ist es möglich, diese Direktive in die Datei hinzuzufügen. functions.php Ihrem Thema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Weitere Details auf WordPress
... mit einer PHP-Website
In alle php-Seiten die folgende Zeile einfĂĽgen:
header( 'Strict-Transport-Security: max-age=0;' );Um dies zu tun, ohne jede php-Seite einer Website ändern zu müssen, ist es möglich, die Richtlinie zu verwenden auto_prepend_file in der Datei .user.ini des betreffenden Standorts:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... mit der Datei hsts_disable.php Nächstes Mal:
header( 'Strict-Transport-Security: max-age=0;' );... mit einer Website mit statischem Inhalt (nicht PHP)
Diesen Header in eine Datei einfĂĽgen.htaccess:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSHSTS anpassen
Der Standardwert kann in Ihren php-Dateien Ihrer Website mit der folgenden Direktive geändert werden:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X die gewĂĽnschte Anzahl von Sekunden).
HSTS fĂĽr alle gehosteten Unterbereiche aktivieren
includeSubDomains; ist standardmäßig aktiviert und wie der Name schon sagt, werden Subdomains in die "Strict Transport Security" aufgenommen.
Wenn der Besucher eine ungesicherte Subdomain fährt, wird der Browser automatisch zum HTTPS umleiten und einen Sicherheitsfehler verursachen.
Wenn dieses Verhalten nicht gewĂĽnscht wird, muss dieser Kopfzeile entfernt werden.
HSTS-Cache aus dem Browser löschen
Zu diesem Zweck:
- In Chrome, tippen SieChrom://net-internals/#hsts
- Geben Sie den Domainnamen in das Textfeld des Abschnitts "Delete domain security policies" ein.
- Klicken Sie auf die Schaltfläche Delete.
- Geben Sie den Domainnamen in das Textfeld des Abschnitts "Query HSTS" ein.
- Klicken Sie auf die Schaltfläche Query.
- Die Antwort muss lauten: "
Not found" (nicht gefunden).
- Mit Safari schliessen Sie zunächst den Browser.
- Datei löschen
~/Library/Cookies/HSTS.plist. - Rufen Sie Safari auf.
- SchlieĂźen Sie mit Firefox alle Registerkarten.
- Ă–ffnen Sie das Firefox-MenĂĽ und klicken Sie auf Historie / Historie anzeigen.
- Suchen Sie nach der Seite, deren HSTS-Einstellungen Sie entfernen möchten.
- Klicken Sie mit der rechten Maustaste auf einen der entsprechenden Einträge.
- Wählen Sie Diese Seite vergessen.