HSTS-Standard für sichere Web-Verbindungen in Sicht

Die meisten Web-Seiten werden unverschlüsselt übertragen, was in aller Regel auch unproblematisch ist. Doch spätestens bei der Nutzung von Online-Diensten wie Web-Mail oder sozialen Netzwerken, die eine Benutzeranmeldung erfordern, sollte eine Verschlüsselung aller übertragenen Daten erfolgen. Internet-Nutzer wissen oft gar nicht, dass eine Website auch eine gesicherte Verbindung anbietet. Hier soll HSTS in Zukunft Abhilfe schaffen.

HTTP Strict Transport Security (kurz: HSTS) ist ein Sicherheitsmechanismus, der zurzeit den Standardisierungsprozess der IETF (Internet Engineering Task Force) durchläuft. Wenn eine Website HSTS unterstützt, fordert sie den Besucher auf die sichere Verbindungsvariante zu nutzen statt der unverschlüsselten. Spionage-Tools wie Firesheep werden dann weitgehend nutzlos.

Eine Website signalisiert dem Browser mit einem speziellen HTTP-Header, dass sie eine verschlüsselte Verbindung anbietet: Strict-Transport-Security: max-age=60000; includeSubdomains

Dabei gibt der Parameter "max-age" an, für wie viele Sekunden sich der Browser diese Information merken soll. Die optionale Angabe "includeSubdomains" teilt dem Browser mit, dass die Nutzung der SSL-Verschlüsselung auch für Sub-Domains (etwa mail.server.net) gelten soll.

Derzeit unterstützt Googles Web-Browser Chrome bereits HSTS, Firefox soll ab Version 4 hinzu kommen. Bereits jetzt können die Firefox-Erweiterungen Noscript und Force-TLS damit umgehen. Mit der Firefox-Erweiterung HTTPS Everywhere können Sie einen ähnlichen Effekt erzielen, nur eben Client-seitig. Microsofts neuer Browser Internet Explorer 9 ist dagegen noch nicht fit für HSTS. (PC-Welt/hal)