Wat is dit
HSTS (HTTP Strict Transport Security) is een response-header die browsers vertelt om jouw domein altijd over HTTPS te benaderen, ook als de gebruiker http:// typt. Een geldige HSTS-header met max-age van minstens 6 maanden is de minimumstandaard.
Waarom belangrijk
Zonder HSTS kan een aanvaller op een open wifi-netwerk de eerste request onderscheppen en doorsturen naar een nepsite (SSL stripping). Met HSTS slaat de browser na het eerste bezoek op dat alleen HTTPS toegestaan is.
Hoe los ik dit op
TransIP: Bij Managed WordPress: ticket aanmaken of via plugin (Really Simple SSL). Bij VPS: voeg in nginx toe: add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;.
CloudFlare: SSL/TLS > Edge Certificates > HTTP Strict Transport Security > Enable. Stel max-age op 6 of 12 maanden, vink Include subdomains en Preload aan.
Strato of Antagonist: In .htaccess op de root: Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains". Bij sommige pakketten staat dit standaard aan.
Anders: Voeg de header toe in je webserver-configuratie. Begin voorzichtig met max-age=300 om te testen, verhoog daarna naar 31536000 (1 jaar) of meer.
Verifieren
curl -sI https://jouwdomein.nl | grep -i strict-transport. Of bekijk de Securityheaders.com score. Voor preload: hstspreload.org.