HSTS staat voor "HTTP Strict Transport Security". Dit is een extra beveiliging voor websites die gebruik maken van beveiligde verbindingen (HTTPS). Voor meer technische informatie over HSTS kan je Wikipedia raadplegen
Omdat je na het inschakelen van HSTS niet zomaar terug kan van HTTPS naar HTTP, is het belangrijk dat je website volledig werkt met HTTPS. Controleer dit goed voordat je HSTS inschakelt! Ben je zelf niet al te technisch, schakel dan een professionele websitebouwer in die dit voor je kan verzorgen.
Het inschakelen van HSTS kan via het "htaccess" bestand van je website. Hierbij adviseren we om de "max-age" eerst op een laag aantal seconden in te stellen. Gaat alles goed, dan kan je de "max-age" veilig verhogen.
De "max-age" is het seconden dat de regel geforceerd moet worden. Zolang de regel geforceerd wordt kan je website alleen bezocht worden via HTTPS.
Voorbeeld:
Header set Strict-Transport-Security "max-age=31536000" env=HTTPS
Als alle subdomeinen met HSTS beveiligd moeten worden kan je deze regel gebruiken. Let er wel goed op dat alle subdomeinen HTTPS moeten gebruiken voordat je dit inschakelt!
Voorbeeld:
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS