Help & probleemoplossing
HSTS
Wat dit is
De Strict-Transport-Security-header vertelt browsers om je site max-age seconden lang uitsluitend over HTTPS te benaderen, waardoor het korte onbeschermde venster op http://-verzoeken dat aanvallers kunnen misbruiken wordt geëlimineerd.
Hoe je je resultaat leest
Gezond: de header aanwezig op HTTPS-antwoorden met een max-age van ten minste een jaar (31536000), idealiter includeSubDomains. De header op HTTP-antwoorden wordt door browsers genegeerd — hij moet over HTTPS worden aangeboden.
Veelvoorkomende problemen en hoe je ze oplost
Geen HSTS-header
Hoe het zich uit: Elk eerste bezoek en elke ingetypte http://-URL maakt één onbeschermd verzoek dat een netwerkaanvaller kan onderscheppen en op platte HTTP kan houden.
Hoe je het oplost: Voeg Strict-Transport-Security: max-age=31536000; includeSubDomains toe op de webserver of het CDN. Begin met een kortere max-age (bijv. 86400) als je er niet zeker van bent dat elk subdomein HTTPS aanbiedt, en verhoog die daarna.
max-age te kort
Hoe het zich uit: Scanners beoordelen de site lager; de bescherming vervalt voor incidentele bezoekers.
Hoe je het oplost: Verhoog max-age naar ten minste 31536000 (één jaar) zodra HTTPS overal stabiel is waar het beleid geldt.
includeSubDomains brak een HTTP-only subdomein
Hoe het zich uit: Een intern of verouderd subdomein werd onbereikbaar voor iedereen die de hoofdsite bezocht — browsers dwingen er HTTPS op af.
Hoe je het oplost: Bied dat subdomein ofwel over HTTPS aan (het beste) of verwijder includeSubDomains en wacht tot gecachte beleidsregels verlopen — wat net zo lang duurt als de oude max-age. Daarom verdient includeSubDomains eerst een audit.