Wat is HSTS?
Als jouw website beschikt over een SSL-certificaat, kan je HSTS gebruiken om de website te beschermen tegen zogenaamde ‘downgrade-aanvallen’. Dit type aanval is een aanval op een computersysteem of een communicatieprotocol waarmee een aanvaller ervoor kan zorgen dat er een oudere, minder goed werkende en minder veilig verbindingstype tot stand wordt gebracht tussen een bezoeker en een website.
Een voorbeeld is het onderscheppen van webverkeer, en vervolgens het web verkeer omleiden van een beveiligde HTTPS-verbinding naar een niet beveiligde HTTP-verbinding. Vervolgens kan de aanvaller wachtwoorden en andere gevoelige data onderscheppen omdat deze niet langer versleuteld verstuurd zijn.
Met HSTS kunnen we afdwingen dat de browser via HTTPS met de website verbindt en dit type aanval, maar ook andere aanvallen tegengaat.
Toepassen van HSTS
HSTS kan op elke server van ELAXXL door middel van het .htaccess bestand geactiveerd worden. Hiervoor moet wel een geldig SSL-certificaat op de domeinnaam geïnstalleerd zijn. Nog geen SSL-certificaat? Bezoek onze SSL-certificaten pagina om snel en eenvoudig het certificaat te kiezen wat aansluit op jouw wensen.
In deze handleiding leggen wij uit hoe je HSTS kunt forceren via een .htaccess bestand.
Stap 1. Controleer jouw website
Voor je begint is het belangrijk dat jouw website al gebruik maakt van HTTPS, en je op alle pagina’s een groen slotje krijgt. Test jouw website door rond te klikken en op iedere pagina te controleren of dit het geval is.
Is dit niet het geval, corrigeer dit dan vóór je verder gaat, omdat dit na het instellen van HSTS mogelijk problemen kan veroorzaken die erg lastig op te lossen zijn.
Stap 2. Het aanmaken van een .htaccess bestand
Een .htaccess kun je aanmaken in je favoriete teksteditor, bijvoorbeeld in je kladblok of Notepad. Het is een simpel tekstbestand met daarin een aantal regels.
Let op: controleer of er al een .htaccess bestand bestaat.
Als er al een .htaccess bestand bestaat kun je deze bewerken en de regels toevoegen die worden beschreven in de volgende stap. Bestaat er nog geen .htaccess bestand? Maak deze dan eerst aan. Om een .htacces bestand aan te maken kun je onze handleiding aanmaken van een .htaccess bestand volgen.
Stap 3. Open het .htaccess bestand om deze te kunnen bewerken
Stap 4. Het toevoegen van de code
Met behulp van deze code forceer je HSTS voor enkel de hostnaam/domeinnaam. Voeg met jouw favoriete teksteditor de volgende regel toe aan het .htaccess bestand:
Header set Strict-Transport-Security "max-age=300" env=HTTPS
Gebruik onderstaande code om HSTS ook op de subdomeinen te forceren:
Header always set Strict-Transport-Security "max-age=300; includeSubDomains" env=HTTPS
Let op: denk eraan dat er ook voor de subdomeinen een geldig SSL-certificaat moet zijn als je bovenstaande code toepast. Neem bij twijfel contact met ons op
Stap 5. Upload het bestand naar de public_html
Stap 6. Test nu of de website nog bereikbaar is. Test hierbij ook jouw subdomeinen en aliassen!
Test het eerst met een kortere tijd van bijvoorbeeld 5 minuten (max-age=300) in plaats van een jaar (max-age=31536000). Zodra je het hebt geactiveerd blijft het in dit geval een jaar lang actief bij de bezoeker die de website al bezocht heeft. Mocht de website niet meer werken, verwijder dan de regel in de .htaccess. Na ~5 minuten zou de website weer moeten werken.
Stap 7. Zet de max-age op een jaar
Voeg de volgende regel toe om de max-age op één jaar te zetten:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Als je eerder ervoor gekozen hebt om ook voor subdomeinen HSTS te forceren, gebruik dan het volgende:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS
Toch nog vragen? Maak een ticket aan of mail naar support@elaxxl.nl
