HSTS activeren supersimpel gemaakt!

Het is bij Antagonist nu mogelijk om HSTS eenvoudig te activeren! Met een simpele menu-optie in DirectAdmin gaat dit flink gemakkelijker dan eerst. Graag vertel ik je waarom dit goed nieuws is, wat HSTS precies is en waar je op moeten letten om de activatie probleemloos te laten verlopen. Je website scoort dan ook beter bij de test van Internet.nl.

HSTS activeren supersimpel gemaakt!

Inmiddels gaat meer dan de helft van de HTTP-verzoeken bij Antagonist over een beveiligde verbinding. Sinds de invoering van standaard gratis SSL voor iedereen is dit flink gestegen. Dit zal alleen nog maar toenemen, omdat browsers nu websites zonder SSL als onveilig gaan markeren. Jij hebt je site waarschijnlijk al beveiligd met SSL, dus HSTS is dan een logische vervolgstap.

Wat is HSTS?

HSTS staat voor HTTP Strict Transport Security. Hiermee kun je bezoekers van jouw website “vertellen” dat ze die in het vervolg altijd via een beveiligde verbinding moeten bekijken. Daarmee voorkom je een bepaald type aanval, een zogeheten downgrade attack. Daarbij wordt door een aanvaller de HTTP-versie van je site geforceerd in plaats van de HTTPS-versie.

Hoe werkt HSTS?

Als iemand voor het eerst je site over HTTP bezoekt, dan zal deze (als je dat hebt ingesteld) worden doorgestuurd naar HTTPS. Bij het ophalen van de pagina over HTTPS wordt er een header meegestuurd: Strict-Transport-Security.

Ziet je browser deze header, dan zal hij onthouden dat deze website in het vervolg alleen via HTTPS mag worden opgevraagd. Zelfs als je in je browser http:// typt, een bookmark gebruikt die naar http:// verwijst of een plaatje in je website hebt die linkt naar de onbeveiligde versie. Ook dan zal alleen de beveiligde versie worden opgevraagd bij de server.

Dit wordt onthouden zo lang als de geldigheidsduur die jij hebt opgegeven. Stel, je hebt die op vijf minuten gezet. De bezoeker kan dan na het eerste bezoek vijf minuten je website alleen over HTTPS bereiken. En dit wordt bij ieder bezoek met deze geldigheidsduur verlengd. Bezoekt diegene na drie minuten de pagina weer, dan wordt het in dit geval dus weer op vijf minuten vanaf dat moment gezet.

Iedereen gratis SSL, dus ook iedereen HSTS?

Wij hebben er bij Antagonist voor gekozen om iedereen standaard en altijd een SSL-certificaat te geven. Hoewel we het gebruik van HSTS absoluut adviseren, zetten we dit bewust niet standaard aan voor iedereen. Hier zijn twee belangrijke redenen voor.

  1. Er bestaat een kleine kans dat we hiermee dingen stuk maken. Dit heeft voornamelijk te maken met een onderdeel van HSTS, genaamd includeSubdomains. Het is goed om deze optie te gebruiken, maar het betekent wel dat alle subdomeinen van de domein beveiligd moeten zijn.
  2. De keuze voor HSTS is redelijk definitief. Als klant kun je het wel uitzetten, maar het duurt vrij lang voordat de effecten helemaal verdwenen zijn. Zeker als je direct een lange geldigheid instelt.

Nu zijn subdomeinen die naar een hostingpakket bij ons verwijzen geen probleem. Wij zorgen er daar immers standaard voor dat die een geldig SSL-certificaat hebben. Echter, het kan ook zijn dat je een subdomein naar een externe locatie verwijst waar wij geen invloed op hebben. En als daar SSL niet wordt afgevangen, dan zal je subdomein dus een beveiligingsmelding tonen.

Waar moet je op letten bij het instellen van HSTS?

Bij HSTS kun je kiezen hoe lang deze geldig is. Het is verstandig om niet meteen met twee jaar te beginnen. Immers, als je er daarna achter komt dat er toch een probleem optreed door het forceren van HTTPS, dan is dit vrijwel niet meer ongedaan te maken. Merk op dat onze optie ook includeSubdomains aan de header toevoegt, de browser wordt dus verteld dat ook subdomeinen alleen over HTTPS mogen worden benaderd.

HSTS heeft het meeste zin bij een lange geldigheidsduur, maar daar moet je het niet meteen op instellen. Het is dus verstandig om te beginnen met vijf minuten. Dit kun je dan een week aankijken. Vervolgens bouw je dit op naar een week. Ook dan wacht je weer geruime tijd, voordat je naar een maand gaat. Heb je ook bij een maand langere tijd geen problemen? Pas dan stel je twee jaar in.

HSTS & Internet.nl
Via Internet.nl kun jij je domein op verschillende beveiligingsaspecten testen. Ze belonen het gebruik van HSTS. Merk op dat de score pas verbeterd bij een geldigheidsduur van zes maanden of langer. En daar werk je langzaam naartoe, als je de instructies in dit artikel volgt 🙂

Hoe is het activeren simpeler geworden?

Je kon bij ons al HSTS aanzetten, bijvoorbeeld door een stukje complexe en foutgevoelige code op te nemen in je .htaccess-bestand. Voor sommigen een koud kunstje, maar wij willen deze optie eenvoudig voor iedereen beschikbaar maken. Daarom kun je bij ons dit nu eenvoudig met een dropdown-menu instellen. Een veiliger internet moet immers voor iedereen toegankelijk zijn.

Hoe stel je HSTS in?

Goed, je weet nu wat HSTS is, wat er de voordelen van zijn en waar je op moet letten als je het wilt gaan activeren. Hoe schakel je het precies in?

  • Log in op DirectAdmin van je webhostingpakket.
  • Klik op Domain Setup, te vinden onder de categorie Your Account.

HSTS activeren: ga naar 'Domain Setup' in DirectAdmin.

  • Je klikt nu op het domein, waarvoor je HSTS wilt activeren.

HSTS activeren: klik op het gewenste domein, waarvoor je HSTS wilt activeren.

  • Kies de gewenste waarde bij Enable HSTS. Kies hier dus nooit direct twee jaar, maar begin met een korte duur en bouw dit langzaam op.

HSTS activeren: de max-age-waarde bepalen.

  • Gewenste waarde gekozen? Klik op Save om de wijziging op te slaan.

Dat is het, je hebt voor je domein nu succesvol HSTS aangezet. Documentatie over deze functie kun je ook in onze HSTS-handleiding terugvinden.

HSTS preload list

Als je HSTS hebt ingesteld, dan wordt dit voor een bezoeker pas geactiveerd nadat hij voor de eerste keer een HTTPS-pagina van je website heeft bekeken. Daarmee wordt immers pas de betreffende header opgehaald. Als je zelfs dit kleine risico niet wilt lopen, dan is er nog een optie: de HSTS preload list.

De oplettende lezer heeft vast ook de optie 2 years, preload in het lijstje gezien. Kies deze optie alleen als je heel zeker bent dat je dit wilt. Hiermee geef je namelijk de intentie aan dat de domeinnaam mag worden opgenomen in de preload list van browsers.

Het voordeel hiervan is dat een browser zelfs bij het eerste bezoek aan je website dit enkel via HTTPS zal doen. Het nadeel is dat het onmogelijk is om snel van de lijst af te komen. Het zit immers ingebakken in de browser, dus kan alleen met updates van browsers wijzigen.

Tot slot

Hopelijk heb je zo een beter beeld gekregen van de toegevoegde waarde van HSTS. Het belangrijkste om te onthouden, is dat je bij het inschakelen nooit direct de langste geldigheidsduur moet kiezen. Bouw het rustig op, met deze nieuwe optie in DirectAdmin kun je dat immers gemakkelijk doen! Zoek je snelle, veilige webhosting? Neem gerust eens een kijkje bij onze pakketten.

Kies je webhostingpakket →

P.S. Wil je op de hoogte blijven van alle artikelen, updates, tips en trucs die verschijnen op ons blog? Dat kan! Rechts bovenin via RSS, e-mail, het liken op Facebook, het +1’en op Google+ of het volgen op Twitter.

Deel Tweet +1 Deel