Die HSTS-Erweiterung einer Website oder eines Hostings deaktivieren oder anpassen

Diese Anleitung erläutert, wie man HSTS für eine Website deaktiviert oder einstellt. Wenn HSTS für eine Website aktiviert ist, erhalten Besucher der Website (sofern ihr Browser kompatibel ist) vom Server eine Aufforderung, alle ungesicherten Links durch gesicherte zu ersetzen. Beispiel: http://www.beispiel.com/eine/seite/ wird automatisch durch https://www.beispiel.com/eine/seite/ ersetzt.

Nach der Installation eines SSL-Zertifikats auf einer Website wird HSTS folgendermassen eingerichtet:

HSTS deaktivieren

1. Mit einem CMS (WordPress, Joomla usw.)

In alle Seiten, die vom CMS generiert werden, muss folgende Zeile eingefügt werden:

header( 'Strict-Transport-Security: max-age=0;' );

Für WordPress z.B. kann diese Direktive in die Datei functions.php Ihres Themes eingefügt werden:

Weitere Informationen über WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers

2. Mit einer PHP-Website

In alle PHP-Seiten muss folgende Zeile eingefügt werden:

header( 'Strict-Transport-Security: max-age=0;' );

Um dazu nicht jede PHP-Seite einer Website bearbeiten zu müssen, kann die Direktive auto_prepend_file in der Datei user.ini der betreffenden Website verwendet werden:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... mit der folgenden Datei hsts_disable.php:

header( 'Strict-Transport-Security: max-age=0;' );

3. Mit einer Website, die statische Inhalte hat (keine PHP-Website)

In der .htaccess-Datei muss folgende Kopfzeile eingefügt werden:

# BEGIN DISABLE HSTS

Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"

# END DISABLE HSTS

Anpassung der HSTS-Erweiterung

HSTS für alle gehosteten Subdomains aktivieren

includeSubDomains ist standardmässig aktiviert und wird, wie der Name schon sagt, die Subdomains in die "Strict Transport Security" einfügen.

Wenn eine nicht gesicherte Subdomain aufgerufen wird, leitet der Browser automatisch auf die HTTPS-Seite weiter und gibt eine Sicherheitsmeldung aus.

Wenn dieses Verhalten nicht gewünscht wird, muss diese Kopfzeile entfernt werden.

HSTS-Cache Ihres Browsers löschen

1. In Chrome geben Sie chrome://net-internals/#hsts ein
2. Geben Sie den Domainnamen im Textfeld des Abschnitts "Delete domain security policies" ein
3. Klicken Sie auf Delete
4. Geben Sie den Domainnamen im Textfeld des Abschnitts "Query HSTS" ein
5. Klicken Sie auf Query
6. Die Antwort muss "Not found" (nicht gefunden) lauten

1. In Safari: Schliessen Sie als erstes den Browser
2. Löschen Sie die Datei ~/Library/Cookies/HSTS.plist
3. Öffnen Sie Safari erneut

1. Firefox: Schliessen Sie alle Tabs
2. Öffnen Sie das Firefox-Menü und klicken Sie auf Chronik / Chronik anzeigen.
3. Suchen Sie die Seite, deren HSTS-Einstellungen gelöscht werden sollen
4. Klicken Sie mit der rechten Maustaste auf einen der entsprechenden Einträge
5. Klicken Sie auf Vergessen