Wat is HSTS preload?

HSTS staat voor HTTP Strict Transport Security. Het is een webbeveiligingsbeleidmechanisme dat ervoor zorgt dat webbrowsers alleen via beveiligde HTTPS-verbindingen communiceren met de hosting webserver, en nooit via het onbeveiligde HTTP-protocol.

Hiermee helpt HSTS in het beschermen van websites tegen verschillende soorten aanvallen zoals man-in-the-middle-aanvallen en zorgt het voor een verhoogde veiligheid en privacy voor gebruikers.

Hoe werkt HSTS preload?

Wanneer een website HSTS gebruikt, wordt elke verbinding versleuteld, en wordt de data beveiligd verzonden tussen de webserver en de browser van de gebruiker zoals bijvoorbeeld Chrome of Safari.

Zodra een gebruiker voor de eerste keer een HSTS-site bezoekt, wordt er een header naar de browser van de gebruiker gestuurd, die dan de site als HSTS-site opslaat. Bij toekomstige bezoeken zal de browser automatisch elke verbinding met de site via HTTPS opzetten, zelfs als de gebruiker HTTP invoert.

hsts preload

Hoe stel je HSTS in?

Voordat je HSTS instelt, is het belangrijk om te controleren of je website voldoet aan de vereisten van HSTS. Dit kun je testen door een online HSTS-checker te gebruiken. Een dergelijke checker onderzoekt of je website correct is geconfigureerd en of het de Strict-Transport-Security-header verzendt.

Als je website niet is voorzien van HSTS, kun je het volgende doen om HSTS in te stellen:

1. Voeg de onderstaande regel toe aan je .htaccess-bestand, dat zich in de public_html folder van je hosting bevindt.

##hsts preload
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
## end of hsts

2. Na het toevoegen van de regel kun je je website aanmelden op https://hstspreload.org/. Het aanmelden is een eenmalige handeling, maar essentieel voor de werking van HSTS.

Waarom HSTS?

Het gebruik van HSTS vergroot niet alleen de veiligheid van een website, maar zorgt ook voor vertrouwen bij de gebruikers omdat het de integriteit en vertrouwelijkheid van hun gegevens waarborgt. Het is dus extra belangrijk voor websites die gevoelige gebruikersinformatie verwerken, zoals wachtwoorden en financiële gegevens.

HSTS checker

Er zijn verschillende online HSTS checkers te vinden. De HSTS check van domsignal is helder en eenvoudig in gebruik. Je vind deze hier: HSTS checker.

HSTS tips

HSTS biedt veel beveiligingsvoordelen, maar het blijft belangrijk om aandacht te besteden aan de correcte implementatie. Een verkeerde configuratie kan de toegankelijkheid van de site beïnvloeden, bijvoorbeeld, als subdomeinen niet correct zijn beveiligd met HTTPS, kunnen ze onbereikbaar worden wanneer HSTS is ingeschakeld.

Bovendien is het cruciaal om het SSL-certificaat van de site of webshop up-to-date te houden. Als het certificaat verloopt, zullen browsers de site blokkeren omdat de verbinding niet meer veilig is.

Feedback

Heb je na het lezen van dit artikel nog vragen of zijn er onduidelijkheden? Werkt de code niet op jouw website? Laat het ons weten, dan kunnen wij je misschien verder helpen.

Feedback kennisbankartikel

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Mis geen WordPress tips meer.

Al 500+ webdesigners en marketeers ontvangen deze nieuwsbrief.

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.

Mis nooit meer website tips.

Al 500+ webdesigners en marketeers ontvangen onze nieuwsbrief.

Naam
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.