HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme om website te beschermen tegen zogeheten “downgrade attacks”. Zonder HSTS is het mogelijk om HTTP en HTTPS door elkaar te gebruiken, ook wanneer u HTTPS hebt geforceerd. Vaak gaat dit mis bij cookies (welke dus onbeschermd zijn).
Door gebruik te maken van HSTS, verplicht u de webbrowser om de website alleen via het HTTPS-protocol te serveren. Zo voorkomt u “cookie hijacking”, een vorm van hacken waarbij de sessie van de gebruiker wordt overgenomen.
Om HSTS te activeren op uw website heeft u twee opties bij DeHeeg.
Voordat u dit doet, moet u wel eerst een SSL certificaat geïnstalleerd hebben op uw account.
Optie 1. U kunt een .htaccess bestand aan te maken in de hoofdroot van uw website (tenzij deze al bestaat).
Hierin voegt u de volgende code toe:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Upload het .htaccess bestand naar de server. Hierna is HSTS geforceerd op uw website (inclusief alle subdomeinnamen).
Optie 2. Log via uw account in op de PLESK-omgeving van uw hosting.
Als u niet weet hoe u dat doet, raadpleeg dan deze helpdeskpagina: Inloggen op PLESK
Daarna klikt u op SSL/TLS certificaten
Vervolgens zet u het schuifje aan bij Doorsturen naar HTTPS als deze nog niet aan staat en daarna zet u ook het schuifje van HSTS aan.
