Verständnisfrage zur HSTS-Aktivierung

  • Hi,


    ich bin mir nicht sicher, ob ich alles richtig verstanden habe und hoffe daher, dass mir hier jemand auf die Sprünge helfen kann.


    Ich würde gerne HSTS aktivieren um das Sicherheitsniveau meiner Website zu erhöhen. Das hätte ja zur Folge, dass sich der Browser des Besuchers merkt, dass meine Website nur noch via TLS aufgerufen werden kann und Zugriffe via http nicht mehr funktionieren. Ich leite zwar http auf https um, aber HSTS ist ja nochmal ne andere Hausnummer. Nun zu meinen Verständnisfragen:


    1) Nehmen wir mal an die automatische Aktualisierung meines LE-Zertifikats schlägt aus irgendeinem Grund fehl. Sperre ich mich dann selbst aus ?


    2) Wenn ich mich ausgesperrt hätte, kann ich dann trotzdem noch über das Control-Panel ein neues Zertifikat erstellen und alles ist wieder gut ?


    3) HSTS kann man im Control Panel auf 1 Minute, 6 Monate oder 1 Jahr fixieren. Lets Encrypt Zertifikate werden aber alle 3 Monate aktualisiert. Wenn sich jetzt ein Besucher mein Zertifikat gemerkt hat (z.B. für etwas weniger als 6 Monate) und mein Zertifikat wird aktualisiert, kann er dann meine Website noch ohne Sicherheitsmeldung aufrufen, oder wird auch das geblockt ? Oder ist die HSTS-Periode einfach nur für TLS-Zugriff an sich und hat nichts mit einem spezifischen Zertifikat zu tun ?


    4) Hat HSTS irgendeinen entscheidenden Nachteil, außer das nicht TLS-fähige Clients die Website nicht ansurfen können, den ich in meinen Fragen oben übersehen habe ?


    Vielen Dank schonmal.


    MFG devzero

    • Hilfreichste Antwort

    1) Nehmen wir mal an die automatische Aktualisierung meines LE-Zertifikats schlägt aus irgendeinem Grund fehl. Sperre ich mich dann selbst aus ?

    Nein, es gibt eine Warnung, dass das Zertifikat abgelaufen ist - und wenn HSTS verletzt wird, gibt es auch eine Warnung. Die kann jedoch auch weggeklickt werden.



    2) Wenn ich mich ausgesperrt hätte, kann ich dann trotzdem noch über das Control-Panel ein neues Zertifikat erstellen und alles ist wieder gut ?

    Ja.



    Oder ist die HSTS-Periode einfach nur für TLS-Zugriff an sich und hat nichts mit einem spezifischen Zertifikat zu tun ?

    Dies. HSTS merkt sich einfach nur, dass hier ein TLS Zugriff zu erfolgen hat - es findet kein Certificate Pinning statt.



    außer das nicht TLS-fähige Clients die Website nicht ansurfen können

    Nicht TLS fähige Clients unterstützen auch kein HSTS, können es also nicht umsetzen. Da du aber eine Umleitung von http zu https drinne hast, können diese Clients deine Website auch ohne HSTS nicht abrufen.



    4) Hat HSTS irgendeinen entscheidenden Nachteil

    Ja, HSTS kann sich auf Dienste auswirken, die du unter einer Subdomain bereitstellen möchstest und explizit kein https anbietest.

    Hab ich z.B. unter h6g.de HSTS strikt aktiv, kann ich nicht mal eben so eine Kundenseite unter test.h6g.de anbieten, ohne dafür ein Zertifikat zu ziehen.


    Dafür muss dann eine extra Test Domain her, die nie mit HSTS in Berührung kommt, oder ich verzichte ganz auf HSTS.

  • devzero

    Hat einen Beitrag als hilfreichste Antwort ausgewählt.
  • Ja, HSTS kann sich auf Dienste auswirken, die du unter einer Subdomain bereitstellen möchstest und explizit kein https anbietest.

    Hab ich z.B. unter h6g.de HSTS strikt aktiv, kann ich nicht mal eben so eine Kundenseite unter test.h6g.de anbieten, ohne dafür ein Zertifikat zu ziehen.


    Dafür muss dann eine extra Test Domain her, die nie mit HSTS in Berührung kommt, oder ich verzichte ganz auf HSTS.

    Ist das nicht nur dann der Fall, wenn man includeSubDomains im Header einbindet oder die Domain in der HSTS Preload List einträgt?

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Gefällt mir 2
  • Nein, es gibt eine Warnung, dass das Zertifikat abgelaufen ist - und wenn HSTS verletzt wird, gibt es auch eine Warnung. Die kann jedoch auch weggeklickt werden.

    Ich bin mir jetzt nicht 100% sicher, aber einige Browser (alle auf Chromium basierenden?) erlauben dann glaube ich kein Fortsetzen, wenn HSTS bereits bekannt ist.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Gefällt mir 6