Activeren van HSTS in je website

HTTP Strict Transport Security (HSTS) is een beveiligingsmechanisme om internetsites te beschermen tegen zogeheten “downgrade attacks”. Zonder HSTS is het namelijk mogelijk om HTTP en HTTPS door elkaar te gebruiken, ook wanneer je HTTPS hebt geforceerd. Onderstaand de uitleg hoe je HSTS kunt forceren via een .htaccess bestand.

  1. Login op cPanel
  2. Ga naar de Filemanager en open je .htacess bestand
  3. Plaats één van onderstaande snippets bovenin je .htacess bestand


    HSTS enkel op het hoofddomein en niet op subdomeinen
    # Hoasted HTTP Strict Transport Security (HSTS) script zonder subdomeinen
    <IfModule mod_headers.c>
         Header always set Strict-Transport-Security "max-age=31536000;"
    </IfModule> 
    HSTS zowel op het hoofddomein als op subdomeinen
    # Hoasted HTTP Strict Transport Security (HSTS) script mét subdomeinen
    <IfModule mod_headers.c>
         Header always set Strict-Transport-Security "max-age=31536000;includeSubDomains"
    </IfModule> 
  4. Sla je aangepaste .htaccess bestand op, en controleer indien gewenst met https://decoder.sslchecker.nl of alles correct is ingesteld
  5. Klaar!

Nog steeds hulp nodig? Contact ons Contact ons