HTTP Strict Transport Security (HSTS) is a beveiligingsmechanisme waarmee een website het gebruik van HTTPS afdwingt bij een broswer. Met de redirects die je kunt gebruiken in je htaccess bestand voor het afdwingen van HTTPS is het nog steeds mogelijk om HTTP en HTTPS door elkaar te gebruiken. Gebruik je HSTS dan forceer je de browser om enkel HTTPS te gebruiken.
Je kunt HSTS alleen gebruiken als:
- Je een SSL certificaat hebt geinstalleerd op je domein
- Je website op HTTPS draait
Bij gebruik van HSTS wordt door de browser gecontroleerd of er verbinding wordt gemaakt met een door SSL beveiligde pagina. Als dit niet het geval is worden bezoekers van een website automatisch doorgestuurd van HTTP naar HTTPS en dus naar de beveiligde versie van de website. Indien er geen beveiligde verbinding mogelijk is krijgt de bezoeker een foutmelding te zien, en wordt de verbinding geweigerd. Het gebruik van HSTS kan 'man in the middle' aanvallen voorkomen, omdat een website op deze wijze niet omgeleid kan worden naar een onbeveiligde pagina.
Je kunt heel simpel HSTS activeren met behulp van het htaccess bestand. Plaats onderstaande code bovenaan in het htaccess bestand.
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Op https://geekflare.com/tools/hsts-test kun je testen of HSTS actief is voor jouw site (score A).
