SSL/TLS-Prüfer

Er prüft: (1) ob HTTPS erreichbar ist und die Verbindung erfolgreich ist, (2) ob HTTP mit einer 301/302-Umleitung auf HTTPS weiterleitet, (3) den HSTS-Header (max-age, includeSubDomains, preload-Direktiven), (4) den HSTS-Preload-Listen-Status über hstspreload.org, (5) Mixed Content - HTTP-Ressourcen auf einer HTTPS-Seite und (6) die HTTP-zu-HTTPS-Umleitungskette.

HTTP Strict Transport Security (HSTS) teilt Browsern mit, dass Ihre Website immer über HTTPS aufgerufen werden muss, selbst wenn der Nutzer http:// eingibt. Ohne HSTS kann ein Angreifer im selben WLAN-Netzwerk SSL-Stripping durchfuehren - die erste HTTP-Anfrage abfangen, bevor die Umleitung erfolgt, und eine gefälschte HTTP-Version Ihrer Website bereitstellen. HSTS verhindert dies, indem Browser ab der ersten Anfrage immer HTTPS verwenden.

Die HSTS-Preload-Liste ist eine Liste von Domains, die hartcodiert in Browser (Chrome, Firefox, Safari, Edge) eingebaut sind und immer über HTTPS aufgerufen werden, bevor jemals eine HTTP-Anfrage gestellt wird. Dies eliminiert sogar die Erstbesuch-Schwachstelle. Für die Berechtigung benötigt Ihre Website HSTS mit max-age>=31536000, includeSubDomains und preload. Sie können unter hstspreload.org einreichen.

Mixed Content tritt auf, wenn eine HTTPS-Seite Ressourcen (Bilder, Skripte, Stylesheets, iframes) über HTTP laedt. Moderne Browser blockieren 'aktiven' Mixed Content (Skripte, Stylesheets, iframes), der manipuliert werden könnte. 'Passiver' Mixed Content (Bilder, Audio, Video) kann eine Sicherheitswarnung anzeigen. Selbst passiver Mixed Content kann Daten preisgeben - HTTP-Anfragen verraten, welche HTTPS-Seite der Nutzer besucht.

HTTPS-Konnektivitaet allein ist nur die Grundlage. Eine hohe Bewertung erfordert auch: HSTS-Header mit einem langen max-age (>=1 Jahr), includeSubDomains zur Abdeckung von Subdomains, eine 301-Umleitung von HTTP, kein Mixed Content und idealerweise HSTS-Preload-Status. Jedes fehlende Element reduziert die Bewertung.

Dieses Tool prüft, ob HTTPS derzeit funktioniert (was ein gueltiges, nicht abgelaufenes Zertifikat erfordert), zeigt aber nicht das spezifische Ablaufdatum an. Für detaillierte Zertifikatsinformationen (Ablaufdatum, Aussteller, SANs, Cipher-Suite) verwenden Sie SSL Labs' SSL Test unter ssllabs.com/ssltest.

Die CSP-Direktive upgrade-insecure-requests weist Browser an, HTTP-Unteranfragen (Bilder, Skripte, API-Aufrufe) automatisch vor dem Senden in HTTPS zu konvertieren. Dies ist eine schnelle Lösung für Mixed-Content-Probleme, die durch hartcodierte http://-URLs in Ihrem HTML oder CSS verursacht werden. Es behebt nicht die eigentliche Ursache (die falschen URLs), verhindert aber Browser-Warnungen.