01HSTS-Eintrag - was ist das?
Bei Chrome können Sie auch für einzelne Sites einfach einen sogenannten HSTS-Eintrag festlegen. Die Abkürzung steht für HTTP Strict Transport Security, ein spezielles Verfahren zum Schutz vor einem bestimmten Angriffstyp auf HTTPS-gesicherte Verbindungen.
- Google Chrome
Wenn Sie zum Beispiel die Webpräsenz von Vodafone aufrufen, erhalten Sie standardmäßig nur die ungesicherte Variante der abgerufenen Seite. - Google Chrome
Dabei hält Vodafone auch eine per HTTPS geschützte Verbindung parat. Daran müssen Sie aber selbst denken, indem Sie der Adresse https voranstellen. - Google Chrome
Damit Sie nicht immer manuell einzugreifen brauchen, geben Sie in Chrome in die Adresszeile "chrome://net-internals/#hsts" ein und drücken Enter. - Google Chrome
Im rot markierten Bereich können Sie nun eine Domäne eintragen, für deren Seiten stets eine HTTPS-Verbindung angefordert werden soll. - Google Chrome
Für unser Beispiel geben wir die Domäne "vodafone.de" an. Außerdem soll der Schutz auch für Subdomains gelten. Mit der Add-Schaltfläche lässt sich der Eintrag hinzufügen. - Google Chrome
Automatisch übernimmt Chrome daraufhin den neuen Eintrag und startet eine Query, um zu erkennen, welche HSTS-Spezifika vodafone.de unterstützt. Sie selbst müssen nichts weiter unternehmen und können den Tab schließen.
02HSTS-Eintrag einrichten
Um den Schutzmechanismus einzurichten, öffnen Sie in Chrome die Seite chrome://net-internals/#hsts. Unter Add Domain können Sie anschließend eine Domäne eintragen und über den Add-Button hinzufügen. Das Verfahren lässt sich durch Aktivieren einer Option auch auf alle Subdomains ausweiten. Künftig leitet der Browser automatisch alle Aufrufe für die angegebenen Websites auf die HTTPS-Variante um.