Was ist eigentlich Http Strict Transport Security

Troy Hunt, der Macher von HaveIbeenpwned hat sich in einem sehr anschaulichen Blogpost mit dem Thema Http Strict Transport Security beschäftigt. Er zeigt, wie man diesen Mechanismus sicher einsetzen kann, geht aber auch auf zu erwartende Probleme ein. American Express ist ein Beispiel, wie man es lieber nicht machen sollte. Klare Leseempfehlung von mir.

Mit dem Thema hat sich Jose Silva in einem amüsanten Vortrag bei der Blackhat 2014 aus Angreifersicht befasst. Die Slides findet man hier.

Eine Liste aller Domains, die aktuell HSTS verwenden wird von Chromium veröffentlicht.

Wikipedia:

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der vor der Aushebelung der Verbindungsverschlüsselung durch eine downgrade Attacke schützen soll. Hierzu kann ein Server mittels des HTTP response headerStrict-Transport-Security einem Client mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen. Optional lässt sich dieses über den Parameter includeSubDomains auf alle Subdomains ausweiten.