Hilfe & Fehlerbehebung
HSTS
Worum es geht
Der Header Strict-Transport-Security weist Browser an, deine Website für max-age Sekunden nur noch über HTTPS zu kontaktieren, und beseitigt so das kurze ungeschützte Zeitfenster bei http://-Anfragen, das Angreifer ausnutzen können.
So liest du dein Ergebnis
Gesund: der Header ist bei HTTPS-Antworten vorhanden mit einem max-age von mindestens einem Jahr (31536000), idealerweise includeSubDomains. Der Header bei HTTP-Antworten wird von Browsern ignoriert — er muss über HTTPS ausgeliefert werden.
Häufige Probleme und wie du sie behebst
Kein HSTS-Header
Wie es sich zeigt: Jeder erste Besuch und jede getippte http://-URL erzeugt eine ungeschützte Anfrage, die ein Netzwerkangreifer abfangen und auf reinem HTTP halten kann.
So behebst du es: Füge am Webserver oder CDN Strict-Transport-Security: max-age=31536000; includeSubDomains hinzu. Beginne mit einem kürzeren max-age (z. B. 86400), falls du nicht sicher bist, dass jede Subdomain HTTPS ausliefert, und erhöhe es dann.
max-age zu kurz
Wie es sich zeigt: Scanner werten die Website ab; der Schutz entfällt für seltene Besucher.
So behebst du es: Erhöhe max-age auf mindestens 31536000 (ein Jahr), sobald HTTPS überall dort stabil ist, wo die Richtlinie greift.
includeSubDomains hat eine reine HTTP-Subdomain beschädigt
Wie es sich zeigt: Eine interne oder veraltete Subdomain wurde für jeden unerreichbar, der die Hauptseite besucht hat — Browser erzwingen dort HTTPS.
So behebst du es: Liefere diese Subdomain entweder über HTTPS aus (am besten) oder entferne includeSubDomains und warte, bis die zwischengespeicherten Richtlinien ablaufen — was so lange dauert wie das alte max-age. Deshalb verdient includeSubDomains zuerst eine Prüfung.