Die kleine HSTS (HTTP Strict Transport Security) Falle

Heute Morgen fiel mir auf, das Administrator.de unter dem Firefox und dem Chrome nur noch auf die https Variante schaltet. Egal, ob http:eingegeben wurde oder nicht, ich landetet immer wieder auf der https-Seite. Generell nichts schlimmes, aber dummerweise funktioniert die Werbung unter https nur eingeschränkt.

Was war also passiert: HSTS hat zugeschlagen. "HSTS" bedeutet HTTP Strict Transport Security und macht genau das, was ich gerade beschrieben habe: Es leitet jeden http Aufruf auf https um. Irgendwann hatte ich als Sicherheitsempfehlung die HSTS Konfiguration für den Webserver eingetragen, ohne genau zu prüfen was das für Folgen hat (passiert mir auch - doofer Fehler, ich weiß).

Hier die Config für Lighttpd, um HSTS einzuschalten (in der lighttpd.conf):

server.modules += ( "mod_setenv" )  
$HTTP["scheme"] == "https" {  
    setenv.add-response-header  = ( "Strict-Transport-Security" => "max-age=63072000; includeSubdomains; preload")  
}

Hier die Config für NGINX, um HSTS einzuschalten (im Server-Block für HTTPS) :

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";  

Danach muss der jeweilige Server neu gestartet werden. Wenn alles richtig läuft, sollte nach einmaliger Eingabe der https Adresse jeder zukünftige Aufruf über https erfolgen.


Eigentlich eine schöne Sache, aber ohne Werbung können wir uns nicht finanzieren. Dazu passt der folgende Artikel: Washington Post stellt Website auf HTTPS um oder Probleme bei der Umstellung von Websites auf HTTPS.

Nachdem ich den selbst verschuldeten Fehler entdeckt habe, wurde dieser Teil der Config deaktiviert (evtl schalten wir das später ja wieder aktiv) und die Server neu gestartet.

Dummerweise merken sich, bis auf den IE 11, alle anderen Browser die HSTS Einstellung (getestet mit den neuesten Versionen von IE, Firefox und Chrome). Beim Chrome reicht das Löschen des Browser-Caches aus, um diese Einstellung wieder loszuwerden (alternativ in die URL "chrome:net-internals/#hsts" eingeben). Beim Firefox leider nicht. Hier muss man erst die gesamte History löschen und dann per "about:permissions" in der URL-Zeile die entsprechende Domain auswählen und ganz rechts auf "Gesamte Webseite vergessen" klicken.

Hier die Bilder dazu:

1) Cache löschen

2) Einstellung zur Webseite vergessen

Danach kann man die ausgewählte Domäne (hier www.administrator.de) wieder ohne das HSTS-Feature aufrufen (ohne die automatische Umleitung auf https). Damit kann ich selbst und nicht der Browser steuern, welche Bereiche der Webseite per https aufgerufen werden (Mitgliederbereich, Einstellungen) und welche nicht (Startseite, Detailseiten mit Werbung).

Ich hoffe ich konnte etwas zum Thema HSTS etwas beitragen. Auf Feeback freue ich mich natürlich.

Gruß
Frank