Gratis beginnen Inloggen

Kennisbank

1.000 veelgestelde vragen, 500 tutorials en uitlegvideo's. Hier vind je alleen maar oplossingen!

KennisbankHSTS beheren voor een website/hosting
Zoeken

HSTS beheren voor een website/hosting

Deze handleiding legt uit hoe u HSTS kunt uitschakelen of configureren voor een website.

 

Inleiding

  • Als HSTS is ingeschakeld voor een website, instrueert de server de bezoeker (mits zijn webbrowser compatibel is) om alle onbeveiligde links te vervangen door beveiligde links.
  • Voorbeeld: http://www.voorbeeld.com/een/pagina/ wordt automatisch vervangen door https://www.voorbeeld.com/een/pagina/.
  • Nadat een SSL-certificaat op een website is geactiveerd, wordt HSTS als volgt geconfigureerd: max-age=16000000.

 

HSTS uitschakelen…

 

… met een CMS (WordPress, Joomla, enz.)

Voeg de volgende regel toe aan alle pagina's die door het CMS worden gegenereerd:

header( 'Strict-Transport-Security: max-age=0;' );

Voor WordPress kunt u bijvoorbeeld deze directive toevoegen aan het bestand functions.php van uw thema:

add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}

Meer informatie over WordPress

 

… met een PHP-website

Voeg de volgende regel toe aan alle PHP-pagina's:

header( 'Strict-Transport-Security: max-age=0;' );

Om dit te doen zonder elke PHP-pagina van een website te hoeven wijzigen, kunt u de directive auto_prepend_file gebruiken in het bestand .user.ini van de betreffende website:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... met het volgende bestand hsts_disable.php:

header( 'Strict-Transport-Security: max-age=0;' );

 

… met een website met statische inhoud (geen PHP)

Voeg deze header toe aan een bestand .htaccess:

# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS

 

HSTS aanpassen

De standaardwaarde kan in uw PHP-bestanden van de website worden gewijzigd met de volgende directive:

header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );

(X is het gewenste aantal seconden).

 

HSTS inschakelen voor alle onderliggende subdomeinen

includeSubDomains; is standaard ingeschakeld en, zoals de naam al aangeeft, worden de subdomeinen opgenomen in de "Strict Transport Security".

Als een bezoeker een onbeveiligd subdomein bezoekt, leidt de browser automatisch door naar HTTPS en veroorzaakt een beveiligingsfout.

Als dit gedrag niet gewenst is, moet deze header worden verwijderd.

 

Browser-HSTS-cache wissen…

… in Chrome

  1. Typ in Chrome chrome://net-internals/#hsts in.
  2. Typ de domeinnaam in het tekstveld van de sectie "Domeinbeveiligingsbeleid verwijderen".
  3. Klik op de knop Verwijderen.
  4. Typ de domeinnaam in het tekstveld van de sectie "HSTS opvragen".
  5. Klik op de knop Opvragen.
  6. Het antwoord moet "Niet gevonden" zijn.

… in Safari

  1. Sluit Safari.
  2. Verwijder het bestand ~/Library/Cookies/HSTS.plist.
  3. Open Safari opnieuw.

… in Firefox

  1. Sluit alle tabbladen in Firefox.
  2. Open het Firefox-menu en klik op Geschiedenis / Geschiedenis weergeven.
  3. Zoek de pagina waarvan u de HSTS-instellingen wilt verwijderen.
  4. Klik met de rechtermuisknop op een van de bijbehorende vermeldingen.
  5. Selecteer Deze pagina vergeten.

Link naar deze veelgestelde vragen: https://faq.infomaniak.com/2133

Is deze veelgestelde vragenlijst nuttig geweest?