1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
Die HSTS-Erweiterung einer Website oder eines Hostings deaktivieren oder anpassen
Diese Anleitung erläutert, wie man HSTS für eine Website deaktiviert oder einstellt. Wenn HSTS für eine Website aktiviert ist, erhalten Besucher der Website (sofern ihr Browser kompatibel ist) vom Server eine Aufforderung, alle ungesicherten Links durch gesicherte zu ersetzen. Beispiel: http://www.beispiel.com/eine/seite/ wird automatisch durch https://www.beispiel.com/eine/seite/ ersetzt.
Nach der Installation eines SSL-Zertifikats auf einer Website wird HSTS folgendermassen eingerichtet:
max-age=16000000HSTS deaktivieren
1. Mit einem CMS (WordPress, Joomla usw.)
In alle Seiten, die vom CMS generiert werden, muss folgende Zeile eingefĂĽgt werden:
header( 'Strict-Transport-Security: max-age=0;' );
FĂĽr WordPress z.B. kann diese Direktive in die Datei functions.php Ihres Themes eingefĂĽgt werden:
add_action( 'send_headers', 'add_header_xua' );function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}
Weitere Informationen ĂĽber WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers
2. Mit einer PHP-Website
In alle PHP-Seiten muss folgende Zeile eingefĂĽgt werden:
header( 'Strict-Transport-Security: max-age=0;' );
Um dazu nicht jede PHP-Seite einer Website bearbeiten zu mĂĽssen, kann die Direktive auto_prepend_file in der Datei user.ini der betreffenden Website verwendet werden:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php
... mit der folgenden Datei hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );
3. Mit einer Website, die statische Inhalte hat (keine PHP-Website)
In der .htaccess-Datei muss folgende Kopfzeile eingefĂĽgt werden:
# BEGIN DISABLE HSTS
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
# END DISABLE HSTS
Anpassung der HSTS-Erweiterung
Der Standardwert kann in den PHP-Dateien Ihrer Website mit dieser Direktive geändert werden:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );
(wobei X die gewĂĽnschte Anzahl Sekunden ist)
HSTS fĂĽr alle gehosteten Subdomains aktivieren
includeSubDomains ist standardmässig aktiviert und wird, wie der Name schon sagt, die Subdomains in die "Strict Transport Security" einfügen.
Wenn eine nicht gesicherte Subdomain aufgerufen wird, leitet der Browser automatisch auf die HTTPS-Seite weiter und gibt eine Sicherheitsmeldung aus.
Wenn dieses Verhalten nicht gewĂĽnscht wird, muss diese Kopfzeile entfernt werden.
HSTS-Cache Ihres Browsers löschen
- In Chrome geben Sie chrome://net-internals/#hsts ein
- Geben Sie den Domainnamen im Textfeld des Abschnitts "Delete domain security policies" ein
- Klicken Sie auf Delete
- Geben Sie den Domainnamen im Textfeld des Abschnitts "Query HSTS" ein
- Klicken Sie auf Query
- Die Antwort muss "Not found" (nicht gefunden) lauten
- In Safari: Schliessen Sie als erstes den Browser
- Löschen Sie die Datei ~/Library/Cookies/HSTS.plist
- Ă–ffnen Sie Safari erneut
- Firefox: Schliessen Sie alle Tabs
- Ă–ffnen Sie das Firefox-MenĂĽ und klicken Sie auf Chronik / Chronik anzeigen.
- Suchen Sie die Seite, deren HSTS-Einstellungen gelöscht werden sollen
- Klicken Sie mit der rechten Maustaste auf einen der entsprechenden Einträge
- Klicken Sie auf Vergessen