HSTS ist ein Sicherheitsmechanismus, um den verschlüsselten Zugriff auf Webseiten zu garantieren. HSTS bedeutet lang: HTTP Strict Transport Security. Dieser Schutzmechanismus setzt dabei auf Preload-Listen, welche die Browser zu rate ziehen, um direkt auf die Seiten mit SSL über Port 443 zu kommunizieren.
In einem Blogeintrag teilt Google nun mit, dass man zahlreiche Top-Level-Domains standardmäßig mit dem Sicherheitsmechanismus ausstatten möchte. Registriert ein Nutzer eine eingetragene Domain von Google und installiert ein SSL-Zertifikat, dann sollen alle Beteiligten unmittelbaren Schutz erhalten.
Damit ist eine unerlaubte Weiterleitung über die unverschlüsselte Verbindung nicht mehr möglich. Selbst Seiten, welche man noch nie zuvor aufgerufen hat, ruft der Browser, sofern sie eingetragen sind, direkt über HTTPS auf.
Das schöne an der Sache ist, dass nicht nur der Browser von Google Zugriff auf diese Liste hat. Nein, auch alle anderen gängigen Browser basieren auf dieser, wodurch ein besserer Schutz überall ermöglicht wird. Nutzer mit anderen Domains können sich übrigens auch auf diese Liste eintragen lassen. → Hier ← Aber Achtung: ein Zugriff via HTTP, auch auf Subdomains, ist dann in vielen Browsern nicht mehr möglich. Auch dauert das Updaten der Listen in den Browsern durchaus mehrere Monate.
Via: heise
