17/10/2018

Wat is HSTS:
HTTP Strict Transport Security?

Beveiliging is belangrijk. Zoals we in eerdere blogs al hebben aangegeven geeft Google voorrang aan beveiligde sites en wanneer je site niet beveiligd is, krijgt de bezoeker een melding te zien. Kortom, beveiliging wordt de norm.

SSL, HSTS, wat is nu goede beveiliging?

Je hebt ons natuurlijk al vaker gehoord over SSL. Een certificaat dat zorgt voor de beveiliging en waardoor je het dichte slotje ziet in Google Chrome. HSTS staat voor HTTP Strict Transport Security. Om dit principe uit te leggen geven we eerst een voorbeeld van de huidige situatie:

Een bezoeker wil onze website bezoeken en typt in de browser “lameco.nl”. Dit is wat er op de achtergrond gebeurt:

1. De browser probeert http://lameco.nl in te laden

2. Onze server gaat een terugkoppeling geven dat de website enkel via de beveiligde URL https://lameco.nl te bereiken is

3. De browser probeert https://lameco.nl in te laden

4. De website wordt nu goed getoond

Waar helpt HSTS bij?

Dit proces gebeurt allemaal in milliseconden dus een gebruiker merkt hier niks van. Wel zorgt dit moment voor een kwetsbaarheid. Hackers kunnen namelijk tijdens stap 1 en 2 een techniek toepassen die “SSL Striping” heet. Hierbij zal stap 1 gelijk blijven en bij stap 2 zal een hacker zijn eigen versie van onze website kunnen terugsturen.

Om dit te voorkomen is er HSTS in het leven geroepen. Dit protocol is een afspraak tussen browsers en servers. Hierbij zegt de server dat een website alleen maar via HTTPS aangevraagd mag worden, de browser zal dan zelf stap 1 overslaan en meteen voor stap 3 gaan.

Een bijkomend voordeel is dat de browser alle plaatjes meteen ook beveiligd gaat inladen, hierbij zijn alle risico’s voor SSL Striping weggehaald.

Overige voordelen van HSTS

Naast een betere beveiliging van je website heeft HSTS nog meer voordelen. 

  1. Snellere laadtijden
    Door gebruik te maken van HSTS worden laadtijden beter doordat de website geen onnodige redirects gaat doen. De pagina, maar ook alle afbeeldingen en bestanden worden direct ingeladen.
     
  2. Goed voor SEO
    Zoekmachines geven tegenwoordig voorkeur aan HSTS sites, deze worden als veiliger ervaren door Google waardoor je hoger scoort. Tevens is het zo dat je website nu sneller geworden is, wat ook meetelt voor een hogere ranking.

Meer weten over HSTS?

Vraag het Chris