logo
GeekFormat

HSTS-Analysator

Strict-Transport-Security Analysator

Analysieren Sie, ob die Kombination aus HSTS max-age, includeSubDomains und preload die Browser- und Preload-Listen-Anforderungen erfüllt.

Analyseübersicht

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
Die HSTS-Struktur scheint keine offensichtlichen Fehler zu haben

Builder

max-age=31536000; includeSubDomains; preload

JSON-Vorschau

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

HSTS online prüfen – zuerst beurteilen ob HTTPS-Zwangsstrategie stabil konfiguriert ist.

Ähnliche Tools

Anwendungsfälle

  • Vor vollständiger HTTPS-Umstellung prüfen ob HSTS-Dauer und Subdomain-Strategie zur aktuellen Umgebung passen
  • Bei Sicherheits-Updates vernünftigen max-age-Wert konfigurieren und includeSubDomains aktivieren
  • Vor HSTS preload-Antrag selbst prüfen ob Konfiguration preload-Direktive enthält um Browser-Anforderungen zu erfüllen
  • Bei HTTPS-Downgrade-Problemen prüfen ob HSTS-Response-Header korrekt zurückgegeben wird und alle Anweisungen analysieren

Funktionen

  • Klare Anweisungsaufschlüsselung: Dauer, Subdomain-Abdeckung, preload-Bedingungen nicht vermischen
  • Vor HTTPS-Zwang selbst prüfen: Vermeiden fehlerhafte Konfigurationen auf die gesamte Website auszuweiten
  • Preload-Vorabprüfung: Helfen frühzeitig zu beurteilen ob HSTS-Header nahe an preload-Anforderungen ist
  • Schnelles Konfigurationsverständnis: Intuitive Ergebnisdarstellung für Development, Ops und Security-Team-Zusammenarbeit

Anleitung

  1. HSTS-Response-Header einfügen oder Generator für max-age Sekunden und Optionen verwenden
  2. Im Analysemodus max-age (lesbare Dauer), includeSubDomains, preload und Warnungen anzeigen
  3. Im Generierungsmodus max-age Sekunden konfigurieren, includeSubDomains und preload aktivieren
  4. Generierten HSTS-Inhalt für Serverkonfiguration kopieren oder Eingabebereich überschreiben

Häufig gestellte Fragen

Wofür wird HSTS verwendet?

HSTS weist Browser an nur noch HTTPS zu verwenden, um Downgrade-Angriffe und Man-in-the-Middle-Attacken zu reduzieren. Vor unüberlegter Aktivierung sollte man die Strategie sorgfältig prüfen.

Was bedeuten max-age, includeSubDomains und preload?

max-age definiert die Gültigkeitsdauer, includeSubDomains erweitert die Regel auf alle Subdomains und preload bezieht sich auf Browser-Preload-Listen. Das Tool hilft bei der schrittweisen Analyse.

Ist es geeignet um HSTS preload-Anforderungen zu prüfen?

Ja. Es hilft zu prüfen ob alle Kernfelder vorhanden sind und ermöglicht eine Vorab-Bewertung der Eignung für die Preload-Liste.

Warum sollte man HSTS vor dem Deployment prüfen?

Falsche Konfiguration kann zu zu lockerer oder zu strenger HTTPS-Strategie führen. Eine Prüfung vor dem Deployment hilft früher fehlende Felder, unangemessene Werte oder unvollständige Subdomain-Abdeckung zu entdecken.