ZenovayTools

HSTS-Preload-Prüfer

Überprüfen Sie, ob Ihre Domain auf der HSTS-Preload-Liste steht, und validieren Sie Ihren Strict-Transport-Security-Header. Verifiziert max-age, includeSubDomains und preload-Flags, die für Chrome/Firefox-Preloading erforderlich sind. Rufen Sie den Berechtigungsstatus und die Konfigurationsbewertung ab.

So verwenden Sie HSTS-Preload-Prüfer

  1. 1Geben Sie Ihren Domänennamen ein, um die HSTS-Konfiguration zu überprüfen.
  2. 2Das Tool ruft den Strict-Transport-Security-Header Ihrer Website ab und analysiert ihn.
  3. 3Die Zugehörigkeit zur Preload-Liste wird mit der Chrome/Firefox HSTS-Preload-Datenbank abgeglichen.
  4. 4Berechtigungsanforderungen und alle Konfigurationsprobleme werden angezeigt.
ZenovayAnalytics

Analytics ganz ohne Cookie-Banner.

  • Besucher-Tracking in Echtzeit
  • Datenschutz zuerst, kein Cookie-Banner
  • In zwei Minuten eingerichtet
Zenovay entdecken

Verwandte Tools

Passwort-Generator
Generieren Sie starke, zufällige Passwörter mit anpassbarer Länge, Zeichen und Komplexität.
Passwort-Stärke-Prüfer
Überprüfen Sie, wie stark Ihr Passwort ist. Erhalten Sie eine geschätzte Knackzeit und Verbesserungsvorschläge.
HMAC-Generator
Generieren Sie HMAC-Signaturen mit SHA-256, SHA-384 oder SHA-512 mit der Web Crypto API.
AES-Verschlüsselung/Entschlüsselung
Verschlüsseln und entschlüsseln Sie Text mit AES-GCM und PBKDF2-Schlüsselableitung. Läuft vollständig in Ihrem Browser.

Häufig gestellte Fragen

Was ist HSTS und warum ist es wichtig?
HTTP Strict Transport Security (HSTS) teilt Browsern mit, dass auf Ihre Website nur über HTTPS und nie über HTTP zugegriffen werden soll. Sobald ein Browser den Strict-Transport-Security-Header sieht, konvertiert er automatisch alle HTTP-Anfragen für die Dauer von max-age in HTTPS-Anfragen. Dies verhindert SSL-Stripping-Angriffe, bei denen Angreifer HTTP-Traffic abfangen, bevor er zu HTTPS umgeleitet werden kann. HSTS ist ein kritischer Sicherheits-Header für jede HTTPS-faehige Website.
Was ist die HSTS-Preload-Liste?
Die HSTS-Preload-Liste ist eine hartcodierte Liste von Domains, die in Browser (Chrome, Firefox, Safari, Edge) eingebaut ist und die immer über HTTPS geladen werden - selbst beim allerersten Besuch, bevor ein HSTS-Header gesehen wird. Dies schliesst das Sicherheitsfenster, das besteht, wenn ein Nutzer eine Website zum ersten Mal über HTTP besucht. Um auf der Preload-Liste zu sein, muss Ihre Domain HSTS mit max-age >= 31536000, includeSubDomains und die preload-Direktive haben.
Was sind die Anforderungen für die HSTS-Preload-Berechtigung?
Ihre Domain muss: (1) ein gueltiges HTTPS-Zertifikat bereitstellen, (2) den gesamten HTTP-Traffic auf HTTPS umleiten, (3) den Strict-Transport-Security-Header bei HTTPS-Antworten mit einem max-age von mindestens 31536000 (1 Jahr) haben, (4) die includeSubDomains-Direktive enthalten und (5) die preload-Direktive enthalten. Alle Subdomains müssen auch über HTTPS zugänglich sein. Einreichen unter hstspreload.org.
Welchen max-age-Wert sollte ich verwenden?
Beginnen Sie bei der Ersteinrichtung mit einem kurzen max-age (z. B. 300 Sekunden) zum Testen. Erhöhen Sie schrittweise auf 1 Monat, dann 6 Monate, dann 1 Jahr (31536000 Sekunden). Der 1-Jahres-Wert ist für die Aufnahme in die Preload-Liste erforderlich. WARNUNG: Sobald HSTS mit einem langen max-age aktiv ist, müssen Sie HTTPS für die gesamte Dauer beibehalten.
Schuetzt HSTS gegen alle MITM-Angriffe?
HSTS schuetzt nach dem ersten Besuch gegen SSL-Stripping und Protokoll-Downgrade-Angriffe. Der erste Besuch ist jedoch noch anfällig, wenn der Nutzer sich über HTTP verbindet (TOFU-Problem). Die Preload-Liste loest dies, indem Browser HTTPS ab der ersten Anfrage erzwingen. HSTS schuetzt nicht gegen die Kompromittierung von Zertifizierungsstellen - dafür sind Certificate Transparency (CT)-Überwachung und CAA-DNS-Einträge erforderlich.