1000 FAQ, 500 Anleitungen und Lernvideos. Hier gibt es nur Lösungen!
HSTS einer Website/Hosting verwalten
Dieser Leitfaden erklärt, wie Sie HSTS deaktivieren oder konfigurieren für eine Website.
Vorwort
- Wenn HSTS für eine Website aktiviert ist, weist der Server den Website-Besucher (sofern sein Webbrowser kompatibel ist) an, alle unsicheren Links durch sichere Links zu ersetzen.
- Beispiel:
http://www.beispiel.com/eine/seite/wird automatisch durchhttps://www.beispiel.com/eine/seite/ersetzt. - Nach der Aktivierung eines SSL-Zertifikats auf einer Website wird HSTS wie folgt konfiguriert:
max-age=16000000.
HSTS deaktivieren…
… mit einem CMS (WordPress, Joomla, etc.)
In allen vom CMS generierten Seiten die folgende Zeile einfügen:
header( 'Strict-Transport-Security: max-age=0;' );Für WordPress können Sie z.B. diese Direktive in die Datei functions.php Ihres Themas einfügen:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Mehr Details zu WordPress
… mit einer PHP-Website
In allen PHP-Seiten die folgende Zeile einfügen:
header( 'Strict-Transport-Security: max-age=0;' );Um dies zu tun, ohne jede PHP-Seite einer Website ändern zu müssen, können Sie die Direktive auto_prepend_file in der Datei .user.ini der betreffenden Website verwenden:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... mit der folgenden Datei hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );… mit einer Website mit statischem Inhalt (kein PHP)
Diesen Header in eine Datei .htaccess einfügen:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSHSTS anpassen
Der Standardwert kann in Ihren PHP-Dateien Ihrer Website mit der folgenden Direktive geändert werden:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X ist die gewünschte Anzahl an Sekunden).
HSTS für alle untergebrachten Subdomains aktivieren
includeSubDomains; ist standardmäßig aktiviert und wie der Name schon sagt, schließt es die Subdomains in die "Strict Transport Security" ein.
Wenn der Besucher eine unsichere Subdomain besucht, leitet der Browser automatisch auf HTTPS um und löst einen Sicherheitsfehler aus.
Wenn dieses Verhalten nicht gewünscht ist, muss dieser Header entfernt werden.
Browser-HSTS-Cache löschen…
… auf Chrome
- In Chrome, geben Sie
chrome://net-internals/#hstsein. - Geben Sie den Domainnamen im Textfeld des Abschnitts "Domain Security Policies löschen" ein.
- Klicken Sie auf die Schaltfläche Löschen.
- Geben Sie den Domainnamen im Textfeld des Abschnitts "HSTS abfragen" ein.
- Klicken Sie auf die Schaltfläche Abfragen.
- Die Antwort muss "
Nicht gefunden" (nicht gefunden) sein.
… auf Safari
- Mit Safari beginnen Sie damit, den Browser zu schließen.
- Löschen Sie die Datei
~/Library/Cookies/HSTS.plist. - Öffnen Sie Safari erneut.
… auf Firefox
- Mit Firefox schließen Sie alle Registerkarten.
- Öffnen Sie das Firefox-Menü und klicken Sie auf Verlauf / Verlauf anzeigen.
- Suchen Sie die Seite, deren HSTS-Einstellungen Sie löschen möchten.
- Klicken Sie mit der rechten Maustaste auf einen der entsprechenden Einträge.
- Wählen Sie Diese Seite vergessen.