HSTS

HTTP Strict Transport Security (HSTS) is een webbeveiligingsbeleid dat helpt om de communicatie tussen de webbrowser van een gebruiker en een website te beveiligen. Het dwingt webbrowsers om alleen veilige HTTPS-verbindingen te gebruiken wanneer ze communiceren met een website, waardoor het risico op bepaalde soorten cyberaanvallen, zoals man-in-the-middle-aanvallen, wordt verminderd.

Waarom is HSTS belangrijk?

Zonder HSTS kunnen aanvallers mogelijk communicatie onderscheppen en manipuleren tussen een webbrowser en een website, zelfs als de website normaal gesproken veilige HTTPS-verbindingen gebruikt. Dit kan gebeuren als een gebruiker bijvoorbeeld eerst verbinding maakt met een onbeveiligd netwerk voordat hij naar de beveiligde website gaat. Met HSTS wordt dit risico aanzienlijk verminderd.

Hoe werkt HSTS?

Wanneer een webbrowser voor het eerst verbinding maakt met een website die HSTS gebruikt, stuurt de website een speciale HSTS-header naar de browser. Deze header vertelt de browser dat hij in de toekomst alleen veilige HTTPS-verbindingen moet gebruiken wanneer hij met de website communiceert.

Zodra de browser deze HSTS-header heeft ontvangen, zal hij alle toekomstige verbindingen met de website automatisch upgraden naar HTTPS, zelfs als de gebruiker of een hyperlink probeert een onveilige HTTP-verbinding te maken.

Hoe ziet een HSTS header eruit?

De HSTS header ziet er ongeveer zo uit: Strict-Transport-Security: max-age=31536000; includeSubDomains; preload.

Hier is wat elk deel van deze header betekent:

• max-age=31536000: Dit vertelt de browser hoe lang (in seconden) hij de HSTS-instellingen moet onthouden. In dit geval is dat één jaar (31.536.000 seconden).
• includeSubDomains: Dit vertelt de browser om HSTS ook toe te passen op alle subdomeinen van de website.
• preload: Dit is optioneel, maar het vertelt de browser om de website op te nemen in de HSTS preload-lijst. Websites op deze lijst gebruiken altijd HTTPS, zelfs bij het eerste bezoek van de gebruiker.

Hoe stel je HSTS in?

Het instellen van HSTS op je website hangt af van je hostingprovider en de servertechnologie die je gebruikt. Als je klant bent bij LJPc hosting, wordt HSTS ondersteund en kun je de volgende stappen volgen om HSTS in te stellen:

1. Log in op het klantenportaal.
2. Ga naar "Domeinnamen en hosting".
3. Klik op de gewenste domeinnaam en vervolgens op "Domein beheren".
4. Klik op SSL/TLS Certificates.
5. Selecteer het vinkje bij HSTS.
6. Selecteer de gewenste max-age. Dit vertelt de browser hoe lang (in seconden) hij de HSTS-instellingen moet onthouden.
7. Klik op Enable HSTS.

Als je geen klant bent bij LJPc hosting, moet je controleren of je hostingprovider HSTS ondersteunt. Als dat het geval is, zullen ze je waarschijnlijk instructies kunnen geven over hoe je HSTS kunt instellen. Als je hostingprovider geen HSTS ondersteunt, kun je overwegen om over te stappen naar een provider die dat wel doet om de beveiliging van je website te verbeteren.

Het is belangrijk om te onthouden dat het instellen van HSTS met zorg moet gebeuren. Eenmaal ingeschakeld, kan het moeilijk zijn om het uit te schakelen, en als het niet correct is ingesteld, kan het problemen veroorzaken met de toegankelijkheid van je website. Als je niet zeker bent, raden we je aan om contact op te nemen via de gebruikelijke kanalen.

tip

HSTS Preload: Een extra beveiligingslaag

Naast het instellen van HSTS op je server, kun je ook overwegen om je domein toe te voegen aan de HSTS Preload-lijst. Dit is een lijst van domeinen die bekend zijn bij webbrowsers om HSTS te gebruiken, zelfs voordat de browser ooit verbinding heeft gemaakt met het domein. Dit helpt om het risico van de eerste verbinding, die nog steeds vatbaar kan zijn voor aanvallen, te verminderen.

Je kunt je domein toevoegen aan de HSTS Preload-lijst via de website hstspreload.org. Voordat je dit doet, moet je ervoor zorgen dat je domein voldoet aan de vereisten van de preload-lijst, waaronder het hebben van een geldig SSL-certificaat, het instellen van de HSTS-header met een max-age van ten minste een jaar, en het opnemen van de includeSubDomains en preload richtlijnen in de HSTS-header.

Het toevoegen van je domein aan de HSTS Preload-lijst is een krachtige manier om de beveiliging van je website te verbeteren, maar het moet met zorg worden gedaan. Eenmaal toegevoegd aan de lijst, kan het verwijderen van je domein weken of zelfs maanden duren, dus het is belangrijk om ervoor te zorgen dat je website correct is geconfigureerd voor HSTS voordat je deze stap neemt.

Verbeter je score op internet.nl met HSTS

Internet.nl is een initiatief dat je helpt om te controleren hoe goed je website voldoet aan moderne internetstandaarden, zoals HSTS. Het is een eenvoudige tool waar je je domeinnaam invoert en een gedetailleerd rapport krijgt over verschillende aspecten van je website, waaronder de implementatie van HSTS.

expert

HSTS validatie

Voor de technisch onderlegde lezers onder ons, is er een manier om te controleren of HSTS correct is ingesteld voor jouw domein. Dit kan gedaan worden met behulp van de command line tool curl. Het commando dat u moet gebruiken is curl -s -D- [domeinnaam] | grep -i Strict, waarbij je [domeinnaam] vervangt door de naam van je domein.

In de uitvoer van dit commando, let op de Strict-Transport-Security header. Als u deze header ziet, dan is HSTS correct ingesteld.

Bijvoorbeeld, om te controleren of HSTS correct is ingesteld voor ljpc-hosting.nl, zou je het volgende commando gebruiken: curl -s -D- https://ljpc-hosting.nl | grep -i Strict.

Let op: deze methode is bedoeld voor gebruikers die bekend zijn met de command line interface. Als je zeker wil weten dat alles goed is ingesteld, raden we aan om contact op te nemen via de gebruikelijke kanalen.