HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme om website te beschermen tegen zogeheten “downgrade attacks”. Zonder HSTS is het mogelijk om HTTP en HTTPS door elkaar te gebruiken, ook wanneer je HTTPS hebt geforceerd. Vaak gaat dit mis bij cookies (welke dus onbeschermd zijn).
Door gebruik te maken van HSTS, verplicht je de webbrowser om de website alleen via het HTTPS-protocol te serveren. Zo voorkom je “cookie hijacking”, een vorm van hacken waarbij de sessie van de gebruiker wordt overgenomen.
Om HSTS te activeren op je website heb je twee opties bij DeHeeg.
Voordat je dit doet, moet je wel eerst een SSL certificaat geïnstalleerd hebben op je account.
Optie 1. Je maakt een .htaccess bestand aan in de hoofdroot van je website (tenzij deze al bestaat).
Hierin voeg je de volgende code toe:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Upload het .htaccess bestand naar de server. Hierna is HSTS geforceerd op je website (inclusief alle subdomeinnamen).
Optie 2. Log via je account in op de PLESK-omgeving van je hosting.
Als je niet weet hoe je dat doet, raadpleeg dan deze helpdeskpagina: Inloggen op PLESK
Daarna klik je op SSL/TLS certificaten
Vervolgens zet je het schuifje aan bij Doorsturen naar HTTPS als deze nog niet aan staat en daarna zet je ook het schuifje van HSTS aan.
