HTTPS ofwel een site met een SSL Certificaat maakt een site veilig, zou je denken. De browser geeft keurig aan dat de site veilig is en dat is waar vooral op wordt gelet.

Wat is HSTS dan?
HSTS staat voor 'HTTP Strict Transport Security' en zonder al te technisch te worden: de website verteld de browser dat alle gestuurde data (pagina's) ook echt via https ontvangen zouden moeten worden.

Een voorbeeld:

• Wanneer een gebruiker verbinding maakt met de bank dan opent deze de eerste pagina van de bank via een veilige https link.
• Een aanvaller kan deze aanvraag naar de veilige website onderscheppen (daar zijn meerdere mogelijkheden voor, zeker als je op een openbaar netwerk zit).
• Vervolgens verstuurd de aanvaller het verzoek naar de echte website door en stuurt het antwoord van deze veilige website terug naar jou maar dit doet hij dan via een onveilige verbinding (zonder https). Om te verbloemen dat de gestuurde website onveilig is (geen https) kan hij de url aanpassen en een plaatje van een slotje (als bv. favicon) toevoegen (zie afbeelding). Het lijkt nu of de site veilig is voor een ongetrainde gebruiker.
• Vervolgens typt de gebruiker alle geheime informatie op deze onveilige website die nu gelezen en gebruikt kan worden door de aanvaller.

Waarom geeft de browser dan geen waarschuwing?
De browser kan zonder HSTS niet weten of de inhoud via http of https ontvangen had moeten worden en daarom geeft de browser geen waarschuwing.
Door HSTS in te stellen geeft de website aan de browser door dat alle data alleen verstuurd wordt via een veilige https verbinding. Dus als de browser nu deze data via een onveilige http verbinding ontvangt dan weet deze dat er iets niet klopt en zal een waarschuwing geven.

Nog vragen of hulp nodig? Val mij ermee lastig en wie weet antwoord ik ook nog :-) Olaf Rietzschel