HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.^[1]

Het HSTS-beleid^[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.

Browserondersteuning

• Chromium en Google Chrome vanaf versie 4.0.211.0^[3][4]
• Firefox vanaf versie 4;^[5] vanaf Firefox 17 houdt Mozilla een lijst bij van websites die HSTS ondersteunen.
• Opera vanaf versie 12^[6]
• Safari vanaf versie OS X Mavericks^[7]
• Edge en Internet Explorer 11 onder Windows 10 ondersteunen HSTS.^[8][9]

Zie ook

• Extended Validation Certificate