Bezoekers verplicht doorsturen naar SSL HTTPS pagina en HSTS

Dit artikel is alleen van toepassing op linux hosting.

Stel u heeft een certificaat op uw domeinnaam actief en u wilt al uw bezoekers doorsturen naar een https pagina dan maakt u in de public_html een bestand met de naam .htaccess aan met de volgende inhoud.

 

RewriteEngine On

RewriteCond %{HTTPS} !=on

# This checks to make sure the connection is not already HTTPS

RewriteRule ^/?(.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Stel het bestand bestaat al dan zoekt u naar de optie "RewriteEngine on". Daaronder zet u dan de andere 2 regels die hierboven genoemd worden.

HSTS is standaard geactiveerd op al onze linux servers. U kunt dit op de volgende wijze uitzetten door dit op te nemen in de .htaccess file.

Header always unset Strict-Transport-Security

 

Wat is HSTS: HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.[1]

 

Het HSTS-beleid[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.(Bron: wikipedia)

Zie ook Wikipedia