In dit artikel leggen we uit hoe je HSTS (HTTP Strict Transport Security) instelt op je website. HSTS biedt een extra beveilingslaag voor websites die een HTTPS-verbinding gebruiken. Meer technische informatie over HSTS vind je op Wikipedia.
Let op: zorg ervoor dat je website volledig werkt met HTTPS voordat je HSTS inschakelt! Nadat je HSTS hebt ingesteld, is het niet meer mogelijk om terug te schakelen naar HTTP. Schakel eventueel de hulp in van een professionele websitebouwer.
HSTS instellen op je website
Je kan HSTS inschakelen via het .htaccess-bestand van je website. We raden aan om de 'max-age' eerst laag in te stellen om de testen of alles goed werkt. De max-age bepaalt het aantal seconden dat de HSTS-regel wordt geforceerd. Gedurende die periode is je website alleen bereikbaar via HTTPS. Werkt alles goed, dan kan je de max-age veilig verhogen.
Voorbeeld:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Wil je ook alle subdomeinen beveiligen met HSTS? Gebruik dan onderstaande regel. Controleer wel eerst of al je subdomeinen HTTPS gebruiken voordat je dit inschakelt.
Voorbeeld:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS