ServerRecords

Help & probleemoplossing

HSTS

Wat dit is

De Strict-Transport-Security-header vertelt browsers om je site max-age seconden lang uitsluitend over HTTPS te benaderen, waardoor het korte onbeschermde venster op http://-verzoeken dat aanvallers kunnen misbruiken wordt geëlimineerd.

Hoe je je resultaat leest

Gezond: de header aanwezig op HTTPS-antwoorden met een max-age van ten minste een jaar (31536000), idealiter includeSubDomains. De header op HTTP-antwoorden wordt door browsers genegeerd — hij moet over HTTPS worden aangeboden.

Veelvoorkomende problemen en hoe je ze oplost

Geen HSTS-header

Hoe het zich uit: Elk eerste bezoek en elke ingetypte http://-URL maakt één onbeschermd verzoek dat een netwerkaanvaller kan onderscheppen en op platte HTTP kan houden.

Hoe je het oplost: Voeg Strict-Transport-Security: max-age=31536000; includeSubDomains toe op de webserver of het CDN. Begin met een kortere max-age (bijv. 86400) als je er niet zeker van bent dat elk subdomein HTTPS aanbiedt, en verhoog die daarna.

max-age te kort

Hoe het zich uit: Scanners beoordelen de site lager; de bescherming vervalt voor incidentele bezoekers.

Hoe je het oplost: Verhoog max-age naar ten minste 31536000 (één jaar) zodra HTTPS overal stabiel is waar het beleid geldt.

includeSubDomains brak een HTTP-only subdomein

Hoe het zich uit: Een intern of verouderd subdomein werd onbereikbaar voor iedereen die de hoofdsite bezocht — browsers dwingen er HTTPS op af.

Hoe je het oplost: Bied dat subdomein ofwel over HTTPS aan (het beste) of verwijder includeSubDomains en wacht tot gecachte beleidsregels verlopen — wat net zo lang duurt als de oude max-age. Daarom verdient includeSubDomains eerst een audit.

Voer een opzoeking uit voor dit record