Een veilige website is tegenwoordig niet meer weg te denken. Al enige tijd raden webhostingbedrijven, veiligheidsinstanties en zelfs de overheid aan om websites te voorzien van een veilige HTTPS-verbinding met SSL. Dit is zelfs verplicht als een website persoonsgegevens verwerkt, zoals vastgesteld in de AVG. Nadat je jouw website hebt voorzien van een SSL-certificaat, kun je instellen dat bezoekers automatisch worden omgeleid HTTP naar HTTPS. Webbrowsers maken namelijk standaard verbinding met HTTP, alvorens zij worden doorverwezen naar HTTPS. Dit brengt echter ook de nodige veiligheidsrisico’s met zich mee. HSTS biedt hier een oplossing voor!
Wat is HSTS?
HSTS is de afkorting voor HTTP Stricht Transport Security. Deze configuratie wordt gebruikt om browsers automatisch het HTTPS-protocol van je website te laten gebruiken. Ofwel, HSTS verplicht browsers om direct naar de versleutelde omgeving van je website te gaan. Hierdoor wordt dus niet eerst verbinding gemaakt met HTTP. De browser wordt na een succesvolle verbinding geïnstrueerd om enkel het HTTPS-protocol te gebruiken als je website wordt bezocht.
Waarom moet ik HSTS instellen?
Met het instellen van HSTS voorkom je dat bezoekers op de onbeveilgde en onversleutelde omgeving van je website terechtkomen. Deze configuratie controleert namelijk of je website is voorzien van HTTPS-verbinding met een geldig SSL-certificaat. Als dat niet het geval is, dan wordt de verbinding geweigerd en zien je bezoekers een foutmelding. Daarmee voorkomen je de zogeheten downgrade en ‘man in the middle‘ attacks, waarmee hackers proberen om je om te leiden naar een onbeveiligde pagina.
HTTP Strict Transport Security biedt niet enkel voordelen op het gebied van veiligheid, maar zorgt ook voor een snellere website. Dit protocol zorgt er namelijk voor dat bezoekers niet meer bij ieder bezoek worden doorgestuurd naar HTTPS. Dit wordt namelijk al direct gedaan. Dit zorgt voor een afname van de laadtijd.
Hoe stel ik HSTS in?
Je kunt HSTS eenvoudig instellen, door een regel toe te voegen aan de .htaccess van je website. Zie ‘Hoe kan ik HSTS inschakelen?‘.