HTTP Strict Transport Security - Versionsgeschichte

Matthäus Wander: /* Einleitung */ Link

Matthäus Wander — Sat, 28 Dec 2024 13:53:27 GMT

Einleitung: Link

← Nächstältere Version		Version vom 28. Dezember 2024, 15:53 Uhr
Zeile 1:		Zeile 1:
	'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch ~~eine~~ Downgrade-~~Attacke~~ als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.		'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch einen [[Downgrade-Angriff]] als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.

	Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der Browser die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name="preloading_hsts_mozillla">[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>		Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der Browser die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name="preloading_hsts_mozillla">[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>

David-ri93: /* Funktionsweise */ Verweis und die Verwendung eines unüblichen sehr spezifischen Begriffs lenken hier nur ab und bieten keinen Mehrwert

David-ri93 — Fri, 01 Mar 2024 13:58:25 GMT

Funktionsweise: Verweis und die Verwendung eines unüblichen sehr spezifischen Begriffs lenken hier nur ab und bieten keinen Mehrwert

← Nächstältere Version		Version vom 1. März 2024, 15:58 Uhr
Zeile 14:		Zeile 14:
	<code>Strict-Transport-Security: max-age=31536000</code>		<code>Strict-Transport-Security: max-age=31536000</code>

	den Browser des Anwenders an, für die Dauer eines ~~[[Gemeinjahr]]es~~ nur verschlüsselte Verbindungen zu dieser Seite aufzubauen.		den Browser des Anwenders an, für die Dauer eines Jahres nur verschlüsselte Verbindungen zu dieser Seite aufzubauen.

	=== Browser ===		=== Browser ===

Chirlu: /* Browser-Unterstützung */Sprache

Chirlu — Thu, 09 Nov 2023 17:27:05 GMT

Browser-Unterstützung: Sprache

← Nächstältere Version		Version vom 9. November 2023, 19:27 Uhr
Zeile 23:		Zeile 23:
	Wird ein HSTS-Header über eine unverschlüsselte Verbindung übertragen oder ist das Zertifikat der Verbindung nicht gültig, muss der Browser diesen ignorieren.		Wird ein HSTS-Header über eine unverschlüsselte Verbindung übertragen oder ist das Zertifikat der Verbindung nicht gültig, muss der Browser diesen ignorieren.

	== Browser ~~Support~~ ==		== Browser-Unterstützung ==
	Folgende Browser unterstützen seit der angegebenen Versionsnummer den HSTS-Standard (in Reihenfolge der Erstveröffentlichung):<ref name="mdn-security">{{Internetquelle \|url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#browser_compatibility \|titel=Strict-Transport-Security \|hrsg=MDN \|datum=2012-11 \|sprache=en \|abruf=2023-03-26}}</ref>		Folgende Browser unterstützen seit der angegebenen Versionsnummer den HSTS-Standard (in Reihenfolge der Erstveröffentlichung):<ref name="mdn-security">{{Internetquelle \|url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#browser_compatibility \|titel=Strict-Transport-Security \|hrsg=MDN \|datum=2012-11 \|sprache=en \|abruf=2023-03-26}}</ref>
	* [[Chromium (Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25. Januar 2010		* [[Chromium (Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25. Januar 2010

Vergänglichkeit: /* Kritik */Link mit AWB

Vergänglichkeit — Thu, 22 Jun 2023 18:29:48 GMT

Kritik: Link mit AWB

← Nächstältere Version		Version vom 22. Juni 2023, 20:29 Uhr
Zeile 33:		Zeile 33:

	== Kritik ==		== Kritik ==
	Die Speicherung der HSTS-Informationen durch den Client lässt sich für ein [[~~Web Analytics~~\|Tracking]] von Benutzern ausnutzen. Besonders kritisch wurde in diesem Zusammenhang diskutiert, dass [[Google Chrome]] die HSTS-Informationen auch in den für besonderen Datenschutz ausgelegten Inkognito-Modus übernahm.<ref>{{Internetquelle \|autor=Ronald Eikenberg \|url=https://www.heise.de/security/artikel/Security-Funktion-HSTS-als-Supercookie-2511258.html \|titel=Security-Funktion HSTS als Supercookie \|werk=[[Heise online\|Heise]] – Security \|datum=2015-01-06 \|abruf=2015-10-25}}</ref> Stand 2018 war das Problem für gängige Browser nicht mehr gegeben.<ref>Varun Patil: [https://github.com/pulsejet/HSTS-SuperCookie HSTS-SuperCookie.] github</ref>		Die Speicherung der HSTS-Informationen durch den Client lässt sich für ein [[Nutzerverfolgung\|Tracking]] von Benutzern ausnutzen. Besonders kritisch wurde in diesem Zusammenhang diskutiert, dass [[Google Chrome]] die HSTS-Informationen auch in den für besonderen Datenschutz ausgelegten Inkognito-Modus übernahm.<ref>{{Internetquelle \|autor=Ronald Eikenberg \|url=https://www.heise.de/security/artikel/Security-Funktion-HSTS-als-Supercookie-2511258.html \|titel=Security-Funktion HSTS als Supercookie \|werk=[[Heise online\|Heise]] – Security \|datum=2015-01-06 \|abruf=2015-10-25}}</ref> Stand 2018 war das Problem für gängige Browser nicht mehr gegeben.<ref>Varun Patil: [https://github.com/pulsejet/HSTS-SuperCookie HSTS-SuperCookie.] github</ref>

	== Verwandte Protokolle ==		== Verwandte Protokolle ==

Darkking3 am 15. Juni 2023 um 07:40 Uhr

Darkking3 — Thu, 15 Jun 2023 07:40:50 GMT

← Nächstältere Version		Version vom 15. Juni 2023, 09:40 Uhr
Zeile 4:		Zeile 4:

	== Geschichte ==		== Geschichte ==
	Der Standard wurde 2012 von der [[Internet Engineering Task Force\|IETF]] als <nowiki>RFC 6797</nowiki><ref>{{RFC-Internet \|RFC=6797 \|Titel=HTTP Strict Transport Security (HSTS)\|Datum=2012-11 \|Autor=Jeff Hodges, Collin Jackson, Adam Barth}}</ref> veröffentlicht<ref name="heise2012">{{Internetquelle \|autor=Reiko Kaps \|url=https://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html \|titel=HTTP Strict Transport Security als Internet-Standard \|werk=[[Heise online\|Heise]] Online \|datum=2012-11-21 \|abruf=2015-10-25}}</ref> und wird unter anderem von den jüngsten Versionen der gängigen [[Webbrowser]] unterstützt.<ref>Vgl. Übersicht im Abschnitt ''Browser compatibility'' des Eintrags [https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security#Browser_compatibility HTTP Strict Transport Security] im Mozilla Developer Forum.</ref> Anlass für die Entwicklung waren von [[Moxie Marlinspike]] 2009 demonstrierte Attacken auf verschlüsselte Verbindungen durch [[Man-in-the-Middle-Angriff]]e, die sich bereits vor Zustandekommen einer verschlüsselten Verbindung dazwischen schalten.<ref name="heise2012" />		Der Standard wurde 2012 von der [[Internet Engineering Task Force\|IETF]] als <nowiki>RFC 6797</nowiki><ref>{{RFC-Internet \|RFC=6797 \|Titel=HTTP Strict Transport Security (HSTS) \|Datum=2012-11 \|Autor=Jeff Hodges, Collin Jackson, Adam Barth}}</ref> veröffentlicht<ref name="heise2012">{{Internetquelle \|autor=Reiko Kaps \|url=https://www.heise.de/netze/meldung/HTTP-Strict-Transport-Security-als-Internet-Standard-1754184.html \|titel=HTTP Strict Transport Security als Internet-Standard \|werk=[[Heise online\|Heise]] Online \|datum=2012-11-21 \|abruf=2015-10-25}}</ref> und wird unter anderem von den jüngsten Versionen der gängigen [[Webbrowser]] unterstützt.<ref>Vgl. Übersicht im Abschnitt ''Browser compatibility'' des Eintrags [https://developer.mozilla.org/en-US/docs/Web/Security/HTTP_strict_transport_security#Browser_compatibility HTTP Strict Transport Security] im Mozilla Developer Forum.</ref> Anlass für die Entwicklung waren von [[Moxie Marlinspike]] 2009 demonstrierte Attacken auf verschlüsselte Verbindungen durch [[Man-in-the-Middle-Angriff]]e, die sich bereits vor Zustandekommen einer verschlüsselten Verbindung dazwischen schalten.<ref name="heise2012" />

	== Funktionsweise ==		== Funktionsweise ==
Zeile 17:		Zeile 17:

	=== Browser ===		=== Browser ===
	Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen Gültigkeit folgendermaßen verhalten:<ref name="RFC6797-5">{{RFC-Internet \|RFC=6797 \|Titel=HTTP Strict Transport Security (HSTS)\|Datum=2012-11 \|Autor=Jeff Hodges, Collin Jackson, Adam Barth \|Abschnitt=5 \|~~Abschnitt~~=HSTS Mechanism Overview}}</ref>		Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen Gültigkeit folgendermaßen verhalten:<ref name="RFC6797-5">{{RFC-Internet \|RFC=6797 \|Titel=HTTP Strict Transport Security (HSTS) \|Datum=2012-11 \|Autor=Jeff Hodges, Collin Jackson, Adam Barth \|Abschnitt=5 \|Abschnittstitel=HSTS Mechanism Overview}}</ref>
	* Alle unverschlüsselten Links zu dieser Seite werden automatisch in verschlüsselte umgewandelt: <code><nowiki>http://example.org/bild.jpg</nowiki></code> wird zu <code><nowiki>https://example.org/bild.jpg</nowiki></code>		* Alle unverschlüsselten Links zu dieser Seite werden automatisch in verschlüsselte umgewandelt: <code><nowiki>http://example.org/bild.jpg</nowiki></code> wird zu <code><nowiki>https://example.org/bild.jpg</nowiki></code>
	* Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann, z. B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer hat dann keine Möglichkeit mehr, die Seite mit dem Browser aufzurufen.		* Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann, z. B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer hat dann keine Möglichkeit mehr, die Seite mit dem Browser aufzurufen.
Zeile 26:		Zeile 26:
	Folgende Browser unterstützen seit der angegebenen Versionsnummer den HSTS-Standard (in Reihenfolge der Erstveröffentlichung):<ref name="mdn-security">{{Internetquelle \|url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#browser_compatibility \|titel=Strict-Transport-Security \|hrsg=MDN \|datum=2012-11 \|sprache=en \|abruf=2023-03-26}}</ref>		Folgende Browser unterstützen seit der angegebenen Versionsnummer den HSTS-Standard (in Reihenfolge der Erstveröffentlichung):<ref name="mdn-security">{{Internetquelle \|url=https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security#browser_compatibility \|titel=Strict-Transport-Security \|hrsg=MDN \|datum=2012-11 \|sprache=en \|abruf=2023-03-26}}</ref>
	* [[Chromium (Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25. Januar 2010		* [[Chromium (Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25. Januar 2010
	* [[Firefox]] seit Version 4 – veröffentlicht: 22. März 2011<ref name="firefox-4-release-notes">{{Internetquelle \|url=https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/ \|titel=Firefox 4 Release Notes \|hrsg=Mozilla \|datum=~~März~~ 2011 \|sprache=en \|abruf=2023-03-26}}</ref>		* [[Firefox]] seit Version 4 – veröffentlicht: 22. März 2011<ref name="firefox-4-release-notes">{{Internetquelle \|url=https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/ \|titel=Firefox 4 Release Notes \|hrsg=Mozilla \|datum=2011-03 \|sprache=en \|abruf=2023-03-26}}</ref>
	* [[Opera (Browser)\|Opera]] seit Version 12 – veröffentlicht: 14. Juni 2012<ref name="opera_presto">{{Internetquelle ~~\|hrsg=Opera Software ASA~~ \|url=http://www.opera.com/docs/specs/presto2.10/#m210-244 \|titel=Web specifications support in Opera Presto 2.10 \|datum=2012-04-23 \|sprache=en \|offline=1 \|archiv-url=https://web.archive.org/web/20180620002005/https://www.opera.com/docs/specs/presto2.10/#m210-244 \|archiv-datum=2018-06-20 \|abruf=2012-05-08}}</ref>		* [[Opera (Browser)\|Opera]] seit Version 12 – veröffentlicht: 14. Juni 2012<ref name="opera_presto">{{Internetquelle \|url=http://www.opera.com/docs/specs/presto2.10/#m210-244 \|titel=Web specifications support in Opera Presto 2.10 \|hrsg=Opera Software ASA \|datum=2012-04-23 \|sprache=en \|offline=1 \|archiv-url=https://web.archive.org/web/20180620002005/https://www.opera.com/docs/specs/presto2.10/#m210-244 \|archiv-datum=2018-06-20 \|abruf=2012-05-08}}</ref>
	* [[Safari (Browser)\|Safari]] seit Version 7 auf [[OS X Mavericks]] – veröffentlicht: 22. Oktober 2013		* [[Safari (Browser)\|Safari]] seit Version 7 auf [[OS X Mavericks]] – veröffentlicht: 22. Oktober 2013
	* [[Internet Explorer 11]] auf [[Windows 8.1]] und [[Windows 7]] mit dem Update-Paket [https://support.microsoft.com/kb/3058515 KB3058515] – veröffentlicht: 9. Juli 2015<ref>{{Internetquelle \|url=http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ \|titel=HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7 \|werk=windows.com \|sprache=en \|offline=1 \|archiv-url=https://web.archive.org/web/20191127121246/https://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ \|archiv-datum=2019-11-27 \|abruf=2015-06-12}}</ref>		* [[Internet Explorer 11]] auf [[Windows 8.1]] und [[Windows 7]] mit dem Update-Paket [https://support.microsoft.com/kb/3058515 KB3058515] – veröffentlicht: 9. Juli 2015<ref>{{Internetquelle \|url=http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ \|titel=HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7 \|werk=windows.com \|sprache=en \|offline=1 \|archiv-url=https://web.archive.org/web/20191127121246/https://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/ \|archiv-datum=2019-11-27 \|abruf=2015-06-12}}</ref>

PerfektesChaos: tk k

PerfektesChaos — Wed, 14 Jun 2023 18:59:40 GMT

tk k

Änderungen zeigen

Aka: Datum ausgeschrieben (Wikipedia:Datumskonventionen), Links normiert

Aka — Mon, 27 Mar 2023 16:54:28 GMT

Datum ausgeschrieben (Wikipedia:Datumskonventionen), Links normiert

← Nächstältere Version		Version vom 27. März 2023, 18:54 Uhr
Zeile 42:		Zeile 42:
	\| language = en		\| language = en
	}}</ref>:		}}</ref>:
	* [[~~Chromium_~~(Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25.1.2010		* [[Chromium (Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25. Januar 2010
	* [[Firefox]] seit Version 4 – veröffentlicht: 22.~~03.~~2011<ref name="firefox-4-release-notes">		* [[Firefox]] seit Version 4 – veröffentlicht: 22. März 2011<ref name="firefox-4-release-notes">
	{{cite web		{{cite web
	\| url = https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/		\| url = https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/
Zeile 52:		Zeile 52:
	\| language = en		\| language = en
	}}</ref>		}}</ref>
	* [[~~Opera_~~(Browser)\|Opera]] seit Version 12 – veröffentlicht: 14.~~06.~~2012<ref name="opera_presto">{{cite web		* [[Opera (Browser)\|Opera]] seit Version 12 – veröffentlicht: 14. Juni 2012<ref name="opera_presto">{{cite web
	\| url = http://www.opera.com/docs/specs/presto2.10/#m210-244		\| url = http://www.opera.com/docs/specs/presto2.10/#m210-244
	\| author = Opera Software ASA		\| author = Opera Software ASA
Zeile 63:		Zeile 63:
	\| language = en		\| language = en
	}}</ref>		}}</ref>
	* [[~~Safari_~~(Browser)\|Safari]] seit Version 7 auf [[OS X Mavericks]] – veröffentlicht: 22.~~10.~~2013		* [[Safari (Browser)\|Safari]] seit Version 7 auf [[OS X Mavericks]] – veröffentlicht: 22. Oktober 2013
	* [[Internet Explorer 11]] auf [[Windows 8.1]] und [[Windows 7]] mit dem Update-Paket [https://support.microsoft.com/kb/3058515 KB3058515] – veröffentlicht: 9.7.2015<ref>{{cite web		* [[Internet Explorer 11]] auf [[Windows 8.1]] und [[Windows 7]] mit dem Update-Paket [https://support.microsoft.com/kb/3058515 KB3058515] – veröffentlicht: 9. Juli 2015<ref>{{cite web
	\| url=http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/		\| url=http://blogs.windows.com/msedgedev/2015/06/09/http-strict-transport-security-comes-to-internet-explorer-11-on-windows-8-1-and-windows-7/
	\| title=HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7		\| title=HTTP Strict Transport Security comes to Internet Explorer 11 on Windows 8.1 and Windows 7
Zeile 74:		Zeile 74:
	\| language=en		\| language=en
	}}</ref>		}}</ref>
	* [[Microsoft Edge]] seit Version 12 auf [[Windows 10]] – veröffentlicht: 28.7.2015		* [[Microsoft Edge]] seit Version 12 auf [[Windows 10]] – veröffentlicht: 28. Juli 2015

	== Kritik ==		== Kritik ==

Hasenläufer: typo

Hasenläufer — Sun, 26 Mar 2023 20:35:47 GMT

typo

← Nächstältere Version		Version vom 26. März 2023, 22:35 Uhr
Zeile 1:		Zeile 1:
	'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.		'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.

	Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage, könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der ~~Broser~~ die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name=preloading_hsts_mozillla>[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>		Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage, könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der Browser die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name=preloading_hsts_mozillla>[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>

	== Geschichte ==		== Geschichte ==

Tfr.didi: first-use-prinzip in allgemeinverständlicheren Sätzen erklärt

Tfr.didi — Sun, 26 Mar 2023 20:17:40 GMT

first-use-prinzip in allgemeinverständlicheren Sätzen erklärt

← Nächstältere Version		Version vom 26. März 2023, 22:17 Uhr
Zeile 1:		Zeile 1:
	'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.		'''HTTP Strict Transport Security''' (kurz '''HSTS''') ist ein Sicherheitsmechanismus für [[Hypertext Transfer Protocol Secure\|HTTPS]]-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor [[Session Hijacking]] schützen soll. Hierzu kann ein Server mittels des {{lang\|en\|[[Hypertext Transfer Protocol\|HTTP response header]]}} ''Strict-Transport-Security'' dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (''max-age'') ausschließlich verschlüsselte Verbindungen für diese [[Domain (Internet)\|Domain]] zu nutzen. Optional lässt sich dieses über den Parameter ''includeSubDomains'' auf alle Subdomains ausweiten, also nicht nur auf <code><nowiki>https://example.org</nowiki></code>, sondern auch auf <code><nowiki>https://subdomain.example.org</nowiki></code>.

	~~Durch~~ eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' ~~werden~~ ~~die~~ ~~Limitierungen~~ ~~des~~ ~~„[[trust~~ on ~~first~~ ~~use]]“-Prinzips~~ ~~für~~ ~~eine~~ ~~definierte~~ ~~Liste~~ ~~von~~ ~~[[Domain~~ ~~(Internet)\|Domains]]~~ ~~umgangen~~.<ref name=preloading_hsts_mozillla>[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>		Ein grundsätzliches Problem des Standards ist, dass beim Erstaufruf einer Domain zunächst ein Request vom Client zum Server abgeschickt werden muss, um zu prüfen, ob dieser Verschlüsselung fordert. Bei dieser initialen Abfrage, könnte ein Angreifer ansetzen, bevor die zukünftige Kommunikation zu der aufgerufenen Domain verschlüsselt wird. Um diesem Problem entgegenzuwirken, wird eine von [[Google Chrome]] betreute und den anderen großen [[Webbrowser]]n genutzte ''HSTS preload list'' gepflegt. Steht eine Domain auf dieser Liste, überspringt der Broser die Erstanfrage und verschlüsselt sämtliche Kommunikation sofort.<ref name=preloading_hsts_mozillla>[https://blog.mozilla.org/security/2012/11/01/preloading-hsts/ Preloading HSTS]. [[Mozilla]] Security Blog, 1. November 2012.</ref> Die Eintragung zusätzlicher Domains ist kostenlos möglich.<ref>[https://hstspreload.appspot.com/ HSTS preload submission].</ref>

	== Geschichte ==		== Geschichte ==

Tfr.didi: Primärquelle für Firefox-Veröffentlichung hinzugefügt

Tfr.didi — Sun, 26 Mar 2023 20:09:54 GMT

Primärquelle für Firefox-Veröffentlichung hinzugefügt

← Nächstältere Version		Version vom 26. März 2023, 22:09 Uhr
Zeile 43:		Zeile 43:
	}}</ref>:		}}</ref>:
	* [[Chromium_(Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25.1.2010		* [[Chromium_(Browser)\|Chromium]] und [[Google Chrome]] seit Version 4 – veröffentlicht: 25.1.2010
	* [[Firefox]] seit Version 4 – veröffentlicht: 22.03.2011		* [[Firefox]] seit Version 4 – veröffentlicht: 22.03.2011<ref name="firefox-4-release-notes">
			{{cite web
			\| url = https://website-archive.mozilla.org/www.mozilla.org/firefox_releasenotes/en-us/firefox/4.0/releasenotes/
			\| title = Firefox 4 Release Notes
			\| publisher = Mozilla
			\| date = März 2011
			\| accessdate = 26.03.2023
			\| language = en
			}}</ref>
	* [[Opera_(Browser)\|Opera]] seit Version 12 – veröffentlicht: 14.06.2012<ref name="opera_presto">{{cite web		* [[Opera_(Browser)\|Opera]] seit Version 12 – veröffentlicht: 14.06.2012<ref name="opera_presto">{{cite web
	\| url = http://www.opera.com/docs/specs/presto2.10/#m210-244		\| url = http://www.opera.com/docs/specs/presto2.10/#m210-244