Bezoekers verplicht doorsturen naar SSL HTTPS pagina en HSTS

Dit artikel is alleen van toepassing op linux hosting.

Stel u heeft een certificaat op uw domeinnaam actief en u wilt al uw bezoekers doorsturen naar een https pagina dan maakt u in de public_html een bestand met de naam .htaccess aan met de volgende inhoud.

 

RewriteEngine On
RewriteCond %{HTTPS} !=on
# This checks to make sure the connection is not already HTTPS
RewriteRule ^/?(.*) https://%{HTTP_HOST}%{REQUEST_URI} [R,L]

Stel het bestand bestaat al dan zoekt u naar de optie "RewriteEngine on". Daaronder zet u dan de andere 2 regels die hierboven genoemd worden.

HSTS is standaard geactiveerd op al onze linux servers. U kunt dit op de volgende wijze uitzetten door dit op te nemen in de .htaccess file.
Header always unset Strict-Transport-Security

Als u https gebruikt dan kunt u op deze wijze de HSTS header zetten in de .htaccess file:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS

Zie ook https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security 

Wat is HSTS: HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme nodig om HTTPS-websites te beschermen tegen zogenaamde downgrade-aanvallen. Het vereenvoudigt ook de bescherming tegen cookie hijacking. Het laat toe dat webservers vereisen dat webbrowsers alleen beveiligde HTTPS-verbindingen kunnen gebruiken, en nooit het onveilige HTTP-protocol. HSTS is een standaard protocol van het IETF en werd vastgelegd in RFC 6797.[1]

 

Het HSTS-beleid[2] wordt door de server doorgegeven via een HTTP-responseheader-veld genaamd "Strict-Transport-Security". Het beleid legt een tijdsperiode vast gedurende welke de browser toegang krijgt.(Bron: wikipedia)

Zie ook Wikipedia