Wat betekent HSTS?

HSTS staat voor HTTP Strict Transport Security. Het is een webbeveiligingsmechanisme dat voorkomt dat gebruikers verbinding maken met een website via een onveilige HTTP-verbinding. In plaats daarvan dwingt HSTS af dat alleen versleutelde HTTPS-verbindingen worden gebruikt.

Hoe werkt HSTS?

Wanneer een gebruiker een website bezoekt die HSTS heeft ingeschakeld:

1. Stuurt de server een speciale HTTP-header (Strict-Transport-Security) naar de browser.
2. De browser onthoudt deze instructie en forceert alle toekomstige verbindingen naar die site via HTTPS, zelfs als de gebruiker per ongeluk HTTP intypt.
3. Als er een probleem is met het SSL/TLS-certificaat van de site, blokkeert de browser de toegang volledig in plaats van een waarschuwing te tonen.

Waarom is HSTS belangrijk?

• Voorkomt Man-in-the-Middle (MITM) aanvallen, zoals SSL-stripping, waarbij een aanvaller de HTTPS-verbinding kan omzetten naar een onveilige HTTP-verbinding.
• Zorgt voor een veiliger internetgebruik door gebruikers automatisch te dwingen om alleen beveiligde verbindingen te gebruiken.
• Verbetert de beveiliging van cookies en sessies, omdat deze alleen via een veilige HTTPS-verbinding worden verzonden.

Hoe HSTS inschakelen?

Een webserver kan HSTS activeren door de volgende header toe te voegen aan de HTTP-respons:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

• max-age=31536000 → Stelt de HSTS-duur in op 1 jaar (31536000 seconden).
• includeSubDomains → Dwingt ook HTTPS af voor alle subdomeinen.
• preload → Laat de website opnemen in de HSTS Preload List, zodat browsers standaard alleen HTTPS gebruiken, zelfs bij een eerste bezoek.

• Open het .htaccess-bestand met een teksteditor
• Voeg de bovenstaande regel toe aan het bestand
• Sla de wijzigingen op en sluit het bestand

Wil je weten of een website HSTS gebruikt? Je kunt dit controleren met online tools zoals hstspreload.org of via de browserontwikkelaarstools onder Netwerk > Response Headers.