HSTS-Eintrag - was ist das?
Bei Chrome können Sie auch für einzelne Sites einfach einen sogenannten HSTS-Eintrag festlegen. Die Abkürzung steht für HTTP Strict Transport Security, ein spezielles Verfahren zum Schutz vor einem bestimmten Angriffstyp auf HTTPS-gesicherte Verbindungen.
Bildergalerie:
Google Chrome
Wenn Sie zum Beispiel die Webpräsenz von Vodafone aufrufen, erhalten Sie standardmäßig nur die ungesicherte Variante der abgerufenen Seite.
Google Chrome
Dabei hält Vodafone auch eine per HTTPS geschützte Verbindung parat. Daran müssen Sie aber selbst denken, indem Sie der Adresse https voranstellen.
Google Chrome
Damit Sie nicht immer manuell einzugreifen brauchen, geben Sie in Chrome in die Adresszeile "chrome://net-internals/#hsts" ein und drücken Enter.
Google Chrome
Im rot markierten Bereich können Sie nun eine Domäne eintragen, für deren Seiten stets eine HTTPS-Verbindung angefordert werden soll.
Google Chrome
Für unser Beispiel geben wir die Domäne "vodafone.de" an. Außerdem soll der Schutz auch für Subdomains gelten. Mit der Add-Schaltfläche lässt sich der Eintrag hinzufügen.
Google Chrome
Automatisch übernimmt Chrome daraufhin den neuen Eintrag und startet eine Query, um zu erkennen, welche HSTS-Spezifika vodafone.de unterstützt. Sie selbst müssen nichts weiter unternehmen und können den Tab schließen.
HSTS-Eintrag einrichten
Um den Schutzmechanismus einzurichten, öffnen Sie in Chrome die Seite chrome://net-internals/#hsts. Unter Add Domain können Sie anschließend eine Domäne eintragen und über den Add-Button hinzufügen. Das Verfahren lässt sich durch Aktivieren einer Option auch auf alle Subdomains ausweiten. Künftig leitet der Browser automatisch alle Aufrufe für die angegebenen Websites auf die HTTPS-Variante um.