HSTS header (HTTP Strict Transport Security) instellen
De HSTS-header (HTTP Strict Transport Security) is een beveiligingsheader die browsers vertelt om altijd via HTTPS verbinding te maken met je website. Dit helpt om man-in-the-middle aanvallen en downgrade-aanvallen te voorkomen.
HSTS instellen in DirectAdmin hostingpaneel
Gebruik je het DirectAdmin hostingpaneel? Dan kun je HSTS globaal activeren via de configuratie.
Stap 1: Configuratie aanpassen
Voeg de volgende regels toe aan:
/usr/local/directadmin/conf/directadmin.conf
SSL=1
hsts=5184000
Stap 2: Services herstarten
Na het aanpassen van het configuratiebestand moet je de services opnieuw starten (reboot of restart van DirectAdmin/serverservices).
Wat doet de HSTS-waarde?
Wanneer hsts is ingesteld op een waarde groter of gelijk aan 0, wordt de volgende HTTP-header automatisch gegenereerd:
Strict-Transport-Security: max-age=31536000
Dit staat gelijk aan een max-age van 1 jaar (31.536.000 seconden).
Let op:
Deze HSTS-header wordt in DirectAdmin standaard alleen toegepast op de inlogpagina van DirectAdmin zelf, niet automatisch op alle websites.
HSTS header toevoegen aan een domeinnaam (Apache)
Wil je HSTS activeren voor een specifieke website of domeinnaam? Dan moet je dit handmatig toevoegen in de .htaccess-file (bij Apache hosting).
Stap: .htaccess aanpassen
Voeg de volgende regel toe aan het .htaccess bestand in de root van je website:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
Extra uitleg HSTS-parameters
- max-age=31536000 → Browsers onthouden 1 jaar lang dat de site alleen via HTTPS bereikbaar is
- includeSubDomains → Geldt ook voor alle subdomeinen
- preload → Maakt het mogelijk om je domein op de HSTS preload-lijst van browsers te zetten
Over de auteur
