WEBSITE SECURITY HEADERS UITGELEGD

HSTS

Informatie pagina over HSTS

De informatie op deze pagina is interessant voor:

  1. technisch beheerders van websites. U leest er wat HSTS is, waarom het misschien voor u belangrijk is en wat u kunt doen om HSTS te controleren en te configureren
  2. websiteontwikkelaars: De pagina bevat de basisbeginselen van HSTS: HTTP_Strict_Transport_Security
  3. alle andere nieuwsgierige mensen

 

Wat is HSTS?

HSTS is een afkorting die staat voor HTTP_Strict_Transport_Security, een toevoeging aan webapplicaties en websites die er voor zorgt dat een computer direct via een veilige verbinding loopt als deze een volgende keer op de website komt in plaats van via de HTTP verbinding. Vroeger liepen de meeste verbindingen naar websites via HTTP, een toevoeging die u vaak vast heeft ingetikt of gezien bij het bezoek van een website. tegenwoordig is het erg belangrijk om een website alleen te bezoeken via HTTPS verbinding. Dit herkent u meestal aan het hangslotje in de browserbalk:

 

‘plaatje’ chrome onveilig

 

‘plaatje chrome veilig

 

HSTS zorgt er dus voor dat uw bezoeken aan een site via de veilige site lopen. Via HTTPS is meelezen van de verstuurde gegevens via het internet en interne netwerk of wifinetwerk veel moeilijker. U beschermd dus de gegevens die uitgewisseld worden tussen uw telefoon of computer en de website die u bezoekt. Vaak loopt die verbinding wel door 5 tot 20 andere systemen. Iedereen met toegang tot 1 van deze tussenliggende systemen in de route kan via HTTP meelezen, via HTTPS is het verkeer onderweg beveiligd met geheime codes.

 

 

Hoe pas ik mijn website dan aan?

Net als bij e-mail zijn er bij websites veel extra regels die computers wel uitwisselen, maar die u niet terug kunt zien op de pagina. HSTS is een instelling die toegevoegd moet worden aan dit stukje informatie dat uw webpagina’s uitsturen, het komt dan in de de ‘page-header’  erbij te staan. Hoe HSTS in uw specifieke situatie moet worden toegevoegd is dus niet in een paar woorden uit te leggen, het hangt af van het systeem waarin uw website is gezet (de hosting omgeving) en de software waarmee uw website zelf werkt (tegenwoordig vaak een CMS, content management systeem). Ook moeten er beslissingen genomen worden over de geldigheidsduur van de instelling. (max-age), meestal zal 6 maanden optimaal zijn.

 

Ons adviesbureau is er juist in gespecialiseerd om dit soort zaken voor u uit te zoeken en u te helpen met het maken van de instellingen om uw site veilig te maken. Als u contact met ons opneemt spreken we de situatie door en bepalen we samen of we er iets aan gaan doen. Zo’n eerste advies gesprek is bij ons doorgaans gratis. 

 

De belangrijkste redenen om wel aanpassingen in HSTS te doen zijn:

– veiligheid voor uw bezoekers (u voorkomt man-in-the-middle-aanvallen)

– trekken van bezoekers (SEO): het is tegenwoordig belangrijk om op basispunten voor de veiligheid zoals HSTS goed geconfigureerd te zijn, uw website wordt dan beter gevonden en u krijgt dan dus meer bezoekers. Wij noemen dat SES (Search Engine Security)

 

Reden om de HSTS foutmeting te laten bestaan:

– er is totaal geen vertrouwelijke informatie die via de website loopt, dus geen contact formulieren, inlog schermen en andere invulvelden of bewerking van gegevens

– marketing is niet van belang, u heeft bijvoorbeeld een hobby/persoonlijke website of u heeft geen nieuwe klanten nodig

 

Hoe test ik mijn website op HSTS?

Als u wilt weten of uw website goed is ingesteld voor HSTS, dan kunt u bij ons een gratis website test aanvragen.

 

Zit er iets op mijn computer als ik een website met HSTS heb bezocht?

Ja, als u de geschiedenis niet heeft gewist heeft uw browser een lijst bijgehouden van alle sites die u heeft bezocht! Het verschil met een cookie is echter dat het HSTS record van een website niet door de website kan worden ‘uitgelezen’. U kunt met speciale commando’s of software wel zelf op uw eigen computer deze records opvragen en hiermee dus achterhalen of een bepaalde website met die computer is bezocht.