Was ist HSTS und warum ist es wichtiger als einfaches SSL?

HSTS (HTTP Strict Transport Security) ist ein Sicherheitsmechanismus, der Browser anweist, eine Website ausschließlich über HTTPS aufzurufen. Während einfaches SSL/TLS oft auf eine unsichere HTTP-Anfrage und einen anschließenden Redirect wartet, unterbindet HSTS unverschlüsselte Kommunikation von vornherein und verhindert so effektiv Man-in-the-Middle-Angriffe und SSL-Stripping.

Wie aktiviere ich HSTS global auf einem cPanel/WHM Server?

Loggen Sie sich als Root in WHM ein und navigieren Sie zu 'Service Configuration » Apache Configuration » Include Editor'. Fügen Sie unter 'Pre VirtualHost Include' den Header-Befehl hinzu: 'Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"'. Dies ist der sicherste Weg, da direkte Änderungen an der httpd.conf bei cPanel-Updates überschrieben würden.

Kann ich HSTS auch ohne Root-Zugriff nur via .htaccess aktivieren?

Ja, das ist ideal für Shared-Hosting-Nutzer. Fügen Sie dazu einen IfModule mod_headers.c Block in Ihre .htaccess Datei ein. Der Header sollte 'Strict-Transport-Security' auf einen 'max-age' Wert setzen. Es wird empfohlen, zusätzlich eine Rewrite-Rule einzubauen, die jeglichen HTTP-Traffic vorab auf HTTPS umleitet.

Was bedeutet der Parameter 'includeSubDomains' und welche Risiken gibt es?

Dieser Parameter erzwingt die HTTPS-Nutzung für absolut alle Subdomains der Hauptdomain. Das Risiko besteht darin, dass Subdomains ohne gültiges SSL-Zertifikat (wie oft bei internen Test-Instanzen oder speziellen Mail-Diensten) für Besucher komplett unerreichbar werden, da der Browser den Zugriff ohne Verschlüsselung verweigert.

Wie funktioniert das HSTS Preloading bei Google?

HSTS Preloading ist eine Liste, die fest in den Quellcode moderner Browser integriert wird. Domains auf dieser Liste werden bereits beim ersten Aufruf verschlüsselt geladen. Voraussetzungen sind ein max-age von mindestens einem Jahr, die Nutzung von includeSubDomains sowie der explizite Zusatz 'preload' im Header-Eintrag.

Wie deaktiviere ich HSTS im Notfall, wenn Besucher ausgesperrt werden?

Da Browser HSTS lokal speichern, reicht einfaches Löschen des Headers nicht aus. Sie müssen den Header aktiv auf 'max-age=0' setzen. Dies weist den Browser an, den HSTS-Eintrag sofort zu löschen. Wenn die Domain auf der Preload-Liste steht, muss zusätzlich ein Löschantrag auf hstspreload.org gestellt werden, was jedoch Wochen dauern kann.

Welcher 'max-age' Wert wird für den Start empfohlen?

Für die Testphase wird ein sehr niedriger Wert von 300 Sekunden (5 Minuten) empfohlen. Wenn die Website und alle Subdomains stabil über HTTPS laufen, sollte der Wert schrittweise auf 1 Woche und schließlich auf den Standardwert von 31536000 Sekunden (1 Jahr) erhöht werden.

Warum sollte man 'always set' anstelle von nur 'set' im Header verwenden?

Der Zusatz 'always' stellt sicher, dass der HSTS-Header bei allen Antwort-Codes gesendet wird, auch bei Fehlermeldungen (4xx) oder Weiterleitungen (3xx). Ohne 'always' senden Apache-Server den Header oft nur bei erfolgreichen 2xx-Statuscodes, was eine Sicherheitslücke bei Redirects hinterlassen könnte.

Hat HSTS einen Einfluss auf das SEO-Ranking?

Ja, indirekt. Google wertet HTTPS als positiven Rankingfaktor. Da HSTS die Sicherheit der Verschlüsselung maximiert und Ladezeiten durch den Wegfall serverseitiger Redirects (bei Folgebesuchen) leicht verbessert, wirkt es sich positiv auf die technische Qualität und das Vertrauen der Seite aus.

Was passiert technisch, wenn das SSL-Zertifikat abläuft und HSTS aktiv ist?

Dies ist ein kritischer Zustand. Normalerweise können Besucher eine Warnung 'Dies Verbindung ist nicht sicher' überspringen. Bei aktivem HSTS lässt der Browser dieses Überspringen jedoch nicht zu. Die Website ist für alle Nutzer, die den HSTS-Header noch im Cache haben, absolut unzugänglich, bis ein gültiges Zertifikat installiert wird.

HSTS in cPanel meistern: Der komplette Guide für WHM und .htaccess

HSTS auf cPanel-Servern konfigurieren: Der komplette Guide (WHM & .htaccess)

Sicherheit ist kein Feature mehr, sondern eine Notwendigkeit. Wenn Sie einen cPanel-Server verwalten oder eine Website hosten, haben Sie sicher schon SSL-Zertifikate eingerichtet. Aber SSL allein reicht nicht immer aus. Um "Man-in-the-Middle"-Angriffe effektiv zu verhindern und Browser dazu zu zwingen, ausschließlich verschlüsselt zu kommunizieren, benötigen Sie HSTS (HTTP Strict Transport Security).

In diesem Beitrag zeige ich Ihnen, wie Sie HSTS auf einem cPanel/Apache-Server global (via WHM) oder lokal (via .htaccess) einrichten, wie Sie auf die begehrte Preload-Liste kommen und – ganz wichtig – wie Sie HSTS im Notfall wieder deaktivieren.

Was ist HSTS?

HSTS ist ein HTTP-Header, den Ihr Server an den Browser sendet. Er sagt im Grunde: "Merk dir für die nächste Zeit (z.B. 1 Jahr), dass du diese Website niemals über unverschlüsseltes HTTP aufrufst, sondern nur über HTTPS."

Das schließt Sicherheitslücken, die entstehen, wenn ein User http:// eintippt, bevor die Weiterleitung greift.

Methode 1: Global für alle Domains (Via WHM)

Ideal für Server-Administratoren, die HSTS serverweit durchsetzen wollen.

Da cPanel die httpd.conf bei Updates überschreibt, dürfen wir diese Datei nicht direkt bearbeiten. Wir nutzen den Include Editor.

Loggen Sie sich in WHM als root ein.
Gehen Sie zu Service Configuration » Apache Configuration » Include Editor.
Wählen Sie unter Pre VirtualHost Include die Option All Versions.
Fügen Sie folgenden Code ein:

<IfModule mod_headers.c>
    # HSTS global aktivieren
    # Der Header wird nur gesendet, wenn die Verbindung bereits HTTPS ist
    # 'always set' garantiert das Senden auch bei Redirects
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" "expr=%{HTTPS} == 'on'"
</IfModule>

Klicken Sie anschließend auf Update und bestätigen Sie den Neustart des Apache.

⚠️ Warnung: Der Parameter includeSubDomains erzwingt SSL für alle Unterdomains (auch mail.domain.com, cpanel.domain.com, etc.). Wenn Sie Kunden haben, deren Subdomains kein gültiges SSL besitzen, lassen Sie diesen Parameter und preload weg!

Methode 2: Individuell pro Domain (Via .htaccess)

Ideal für Shared-Hosting-Nutzer oder wenn HSTS nur für bestimmte Seiten gelten soll.

Fügen Sie diesen Code ganz oben in die .htaccess Datei im public_html Verzeichnis ein. Die Reihenfolge der Weiterleitungsregeln ist dabei entscheidend: Zuerst wird HTTP auf HTTPS umgeleitet, dann erst erfolgt die Weiterleitung von non-www auf www – da der HSTS-Header ausschließlich über HTTPS wirksam ist.

<IfModule mod_rewrite.c>
    RewriteEngine On

    # 1. HTTP → HTTPS (muss zuerst kommen)
    RewriteCond %{HTTPS} !=on
    RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

    # 2. non-www → www (greift nur noch auf HTTPS)
    RewriteCond %{HTTP_HOST} !^www\. [NC]
    RewriteRule ^(.*)$ https://www.%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
</IfModule>

<IfModule mod_headers.c>
    # HSTS Header setzen (Starten Sie mit einer kurzen Zeit zum Testen!)
    # Aktuell eingestellt auf: 1 Jahr (31536000 Sekunden)
    # 'expr=%{HTTPS} == 'on'' stellt sicher, dass der Header nur über
    # HTTPS gesendet wird – Browser ignorieren ihn über HTTP ohnehin.
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" "expr=%{HTTPS} == 'on'"
</IfModule>

Hinweis: Wenn Sie non-www als kanonische Domain bevorzugen, ersetzen Sie Regel 2 durch folgendes:

    # Alternative: www → non-www
    RewriteCond %{HTTP_HOST} ^www\.(.+)$ [NC]
    RewriteRule ^(.*)$ https://%1%{REQUEST_URI} [L,R=301]

⚠️ Warnung: Der Parameter includeSubDomains erzwingt SSL für alle Subdomains der Domain (auch mail.domain.com, shop.domain.com, etc.). Stellen Sie sicher, dass alle Subdomains über ein gültiges SSL-Zertifikat verfügen, bevor Sie diesen Parameter setzen.

Der Gold-Standard: HSTS Preloading

Vielleicht ist Ihnen im Code das Wort preload aufgefallen. Dies ist Voraussetzung, um Ihre Domain bei hstspreload.org einzureichen.

Was ist die Preload-Liste?

Dies ist eine Liste, die von Google gepflegt und von Chrome, Firefox, Safari und Edge fest in den Browser-Code integriert wird. Domains auf dieser Liste werden vom allerersten Besuch an nur per HTTPS geladen, noch bevor der Server überhaupt kontaktiert wurde. Es ist die höchste Sicherheitsstufe.

Voraussetzungen für die Aufnahme:

Gültiges SSL-Zertifikat.
HTTP zu HTTPS Weiterleitung auf der Root-Domain muss aktiv sein.
Alle Subdomains (inkl. 'www') müssen über HTTPS erreichbar sein.
Der Header muss folgende Felder enthalten:
- max-age muss mindestens 31536000 (1 Jahr) sein.
- includeSubDomains muss vorhanden sein.
- preload muss vorhanden sein.

Wenn Sie diese Kriterien erfüllen, können Sie Ihre Domain auf hstspreload.org eintragen.

Notfallplan: Wie deaktiviere ich HSTS wieder?

Das Deaktivieren von HSTS ist tückisch. Wenn Sie den Header einfach aus der Konfiguration löschen, speichern die Browser der Besucher die Einstellung trotzdem noch, bis die max-age Zeit (z.B. 1 Jahr) abgelaufen ist.

Um HSTS "zu töten", müssen Sie den Browsern aktiv mitteilen, dass sie es vergessen sollen.

Schritt 1: Header auf 0 setzen

Ändern Sie den Code in WHM oder der .htaccess zu folgendem (überschreiben Sie den alten Eintrag):

<IfModule mod_headers.c>
    # max-age=0 zwingt den Browser, das HSTS-Flag sofort zu löschen
    Header always set Strict-Transport-Security "max-age=0" "expr=%{HTTPS} == 'on'"
</IfModule>

Lassen Sie diesen Code so lange aktiv, bis alle regelmäßigen Besucher einmal auf der Seite waren (z.B. 1-2 Wochen).

Schritt 2: Preload-Liste (falls genutzt)

Wenn Sie auf der Preload-Liste stehen, müssen Sie auf hstspreload.org/removal die Löschung beantragen. Achtung: Es kann Wochen oder Monate dauern, bis diese Änderung über Browser-Updates bei allen Nutzern ankommt. Überlegen Sie sich den Eintrag in die Preload-Liste also gut!

Zusammenfassung

HSTS ist ein mächtiges Werkzeug für Sicherheit und SEO (Google bewertet sichere Seiten positiv). Starten Sie jedoch vorsichtig: Beginnen Sie mit einem niedrigen max-age (z.B. 300 Sekunden), testen Sie ausführlich, und erhöhen Sie erst dann auf ein Jahr, wenn Sie sicher sind, dass Ihre SSL-Konfiguration stabil ist.