Sind Sie mit frustrierenden HSTS-Fehlern in Chrome oder Firefox konfrontiert? Verzweifeln Sie nicht! Dieser ausführliche Leitfaden ist speziell für Sie konzipiert.
Wir erklären Ihnen, was es ist, warum die Fehler auftreten und vor allem, wie Sie HSTS in Chrome und Firefox deaktivieren können.
Mit unseren präzisen Schritten und klaren Erklärungen können Sie diesen technischen Fehler im Handumdrehen beheben. Fangen wir an!
Inhaltsübersicht
- Was ist HSTS?
- Was ist der HSTS-Fehler?
- Wie kann man HSTS im Chrome-Browser deaktivieren?
- Wie kann man HSTS im Firefox-Browser deaktivieren?
Was ist HSTS?
HSTS steht für HTTP Strict Transport Security, einen Mechanismus für Web-Sicherheitsrichtlinien, der Websites vor Man-in-the-Middle-Angriffen wie Protokoll-Downgrade-Angriffen und Cookie-Hijacking schützen soll. HSTS sorgt dafür, dass ein Webbrowser nur über sichere, verschlüsselte Verbindungen mit einer Website kommuniziert. Es ist eine der effizientesten Online-Sicherheitsmaßnahmen gegen den Diebstahl sensibler Daten.
Wie funktioniert HSTS?
Bei der HSTS-Implementierung wird der Webserver so konfiguriert, dass der HSTS-Header in die HTTP-Antworten aufgenommen wird. Dieser Header, bekannt als “Strict-Transport-Security”, gibt die maximale Zeit (in Sekunden) an, für die der Browser HTTPS erzwingen soll, was als “max-age” bezeichnet wird.
Optional kann der Header Direktiven wie “includeSubDomains” enthalten, wodurch die HSTS-Richtlinie auf alle Subdomains ausgedehnt wird, und “preload”, wodurch den Browsern signalisiert wird, die Domäne in ihre HSTS-Preload-Listen aufzunehmen. Die Aufnahme in die Preload-Liste gewährleistet die Durchsetzung von HSTS schon beim ersten Besuch.
Beim Besuch einer HSTS-aktivierten Website erkennt der Browser den HSTS-Header und speichert diese Information intern. Die Durchsetzung erfolgt automatisch bei nachfolgenden Besuchen innerhalb der angegebenen “max-age”-Dauer.
Selbst wenn ein Nutzer versucht, über “http://” auf die Website zuzugreifen oder auf einen HTTP-Link klickt, wandelt der Browser die Anfrage vor der Übertragung nahtlos in HTTPS um.
Während der gesamten Dauer der HSTS-Richtlinie verwendet der Browser konsequent HTTPS für alle nachfolgenden Anfragen an die HSTS-aktivierte Domäne und ignoriert alle Versuche, über eine unverschlüsselte Verbindung auf die Website zuzugreifen.
HSTS-Beispiele
Hier sind einige Beispiele für HTTP Strict Transport Security Header:
Grundlegende HSTS-Kopfzeile
Strict-Transport-Security: max-age=31536000
In diesem Beispiel ist die max-age-Direktive auf 31536000 Sekunden (1 Jahr) gesetzt, was bedeutet, dass der Browser die HSTS-Richtlinie für diese Dauer durchsetzen soll.
HSTS mit Einbeziehung von Subdomains
Strict-Transport-Security: max-age=31536000; includeSubDomains
Dieses Beispiel enthält die Direktive includeSubDomains, die angibt, dass die HSTS-Richtlinie für alle Subdomains der aktuellen Domain gelten soll.
HSTS-Vorspannung
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Dieses Beispiel enthält die preload-Direktive , die den Browsern signalisiert, dass die Domain in ihre HSTS-Preload-Listen aufgenommen werden soll. Die Aufnahme in die Preload-Liste bedeutet, dass HSTS auch beim allerersten Besuch der Website durchgesetzt wird.
HSTS mit benutzerdefinierter Subdomain Max-Age
Strict-Transport-Security: max-age=31536000; max-age=2592000; includeSubDomains
In diesem Beispiel hat die Hauptdomäne ein Höchstalter von 1 Jahr, während die Subdomänen ein kürzeres Höchstalter von 30 Tagen haben.
Webadministratoren sollten HSTS-Header so konfigurieren, dass sie ihren Sicherheitsanforderungen und ihrer Domänenstruktur entsprechen. Testen und überwachen Sie regelmäßig die optimale Wirksamkeit. Lassen Sie uns nun einige Vorteile und Grenzen von HSTS untersuchen.
HSTS-Vorteile
Eine ordnungsgemäße HSTS-Konfiguration bietet diese wichtigen Vorteile:
- Entschärfung von Man-in-the-Middle-Angriffen: HSTS verhindert das Abhören und die Manipulation von Daten, indem es potenzielle Cyberangriffe vereitelt.
- Schutz vor Session Hijacking: HSTS schützt vor Session-Schwachstellen, indem es die sichere Übertragung von Session-Cookies gewährleistet.
- Verhinderung von Protokoll-Downgrades: Es reduziert die Gefahr von Angriffen, die unsichere Kommunikationsprotokolle ausnutzen.
- Verbesserter Datenschutz für Benutzer: Erhöht die Privatsphäre der Nutzer durch die sichere Übertragung sensibler Informationen und stärkt das Vertrauen in die Website.
- Verhinderung von SSL-Stripping-Angriffen: Stellt sicher, dass die Interaktionen der Benutzer mit der Website verschlüsselt und sicher bleiben, wodurch das Risiko erfolgreicher SSL-Stripping-Angriffe minimiert wird.
HSTS-Beschränkungen
Wie bei jeder Technologie gibt es auch bei den HSTS-Einstellungen einige Einschränkungen. Hier sind einige von ihnen:
- Abhängig von der Browserunterstützung: Der Einsatz und die Wirksamkeit von HSTS hängen von der Browserunterstützung ab, und Benutzer, die nicht unterstützte oder veraltete IE-Browser verwenden, profitieren möglicherweise nicht von den Sicherheitsfunktionen des Systems.
- Strenge Persistenz der Richtlinie: Sobald Sie HSTS implementiert haben, bleibt die Richtlinie für eine bestimmte Dauer bestehen, was es schwierig macht, sie bei Bedarf schnell zu widerrufen oder zu ändern.
- Potenzial für abgelaufene Zertifikate: Wenn das SSL/TLS-Zertifikat einer Website SSL/TLS-Zertifikat, kann es für die Benutzer schwierig werden, auf die Website zuzugreifen, bis das Zertifikat erneuert wird, selbst wenn HSTS vorhanden ist.
Als nächstes wollen wir uns dem HSTS-Fehler zuwenden. Doch bevor wir uns damit beschäftigen, wie man HSTS in Chrome und Firefox deaktiviert, sollten wir zunächst verstehen, was der HSTS-Fehler ist und warum er auftritt.
Was ist der HSTS-Fehler?
Der HSTS-Fehler tritt auf, wenn eine Website, die über sichere HTTPS-Verbindungen geladen werden sollte, über HTTP (unsichere Verbindungen) geladen wird. Infolgedessen zeigen Webbrowser wie Chrome oder Firefox einen HSTS-Fehler an und blockieren den Zugriff auf die Website. Die HSTS-Richtlinie der Website, die Browser anweist, nur über sichere Verbindungen zu verbinden, löst diesen Fehler aus.
Wodurch wird der HSTS-Fehler verursacht?
Wenn ein Benutzer auf einen HSTS-Fehler stößt, zeigt der Browser in der Regel eine Warn- oder Fehlermeldung an, die den Benutzer am Zugriff auf die Website hindert. Die Behebung von HSTS-Fehlern beinhaltet die Behebung der spezifischen Probleme, die sie verursachen, wie z. B. die Aktualisierung von SSL-Zertifikaten, die Behebung von Problemen mit gemischten Inhalten oder die Sicherstellung der korrekten Serverzeit.
Häufige HSTS-Fehler sind:
- Zertifikatsprobleme: Wenn es ein Problem mit dem SSL/TLS-Zertifikat der Website gibt, z. B. ein abgelaufenes oder ungültiges Zertifikat, kann dies einen HSTS-Fehler auslösen.
- Ungültige HSTS-Richtlinie: Wenn die Website eine ungültige oder falsch formatierte HSTS-Richtlinie sendet, können Browser die Verbindung ablehnen.
- Gemischte Inhalte: Wenn die Website eine Mischung aus sicherem (HTTPS) und nicht sicherem (HTTP) Inhalt enthält, kann dies HSTS-Fehler auslösen.
- Zeitunterschied: HSTS verlässt sich auf die korrekte Systemzeit sowohl auf dem Client (Computer des Benutzers) als auch auf dem Server. Wenn ein erheblicher Zeitunterschied besteht, kann dies zu HSTS-Fehlern führen.
Wie kann man HSTS im Chrome-Browser deaktivieren?
Die Deaktivierung von HSTS in Chrome erfordert eine Reihe bestimmter Schritte. HTTP Strict Transport Security schützt sensible Daten, indem es sichere https-Verbindungen erzwingt. Manchmal müssen Sie jedoch HSTS deaktivieren, weil die Fehlermeldung “Sie können domain.com im Moment nicht besuchen, weil die Website HSTS verwendet” oder andere https-Probleme auftreten.
Um HSTS zu deaktivieren, müssen Sie die HSTS-Einstellungen in Chrome löschen.
- Geben Sie chrome://net-internals/#hsts in die Adressleiste ein, um die HSTS-Einstellungen von Chrome aufzurufen.
- Suchen Sie unter dem Menüpunkt HSTS den Abschnitt Domänensicherheitsrichtlinien löschen. Geben Sie den Domänennamen, bei dem der HSTS-Fehler auftritt, in das Feld Domäne ein und klicken Sie auf die Schaltfläche Löschen, um die HSTS-Einstellungen für diese Website zu entfernen.
Wenn der Fehler weiterhin besteht, können Sie die lokalen HSTS-Einstellungen über den Registrierungseditor von Windows OS ändern:
- Klicken Sie mit der rechten Maustaste auf Start und wählen Sie dann Ausführen. Geben Sie regedit in das Feld Öffnen: ein und wählen Sie dann OK.
- Navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
- Suchen Sie auf der rechten Seite des Fensters nach dem Wert HstsEnabled. Wenn er nicht vorhanden ist, erstellen Sie ihn, indem Sie mit der rechten Maustaste auf den leeren Bereich klicken, Neu > DWORD (32-Bit)-Wert wählen und ihn HstsEnabled nennen.
- Doppelklicken Sie auf den neu erstellten Wert und geben Sie 0 in das Datenfeld Wert ein, um HSTS zu deaktivieren.
Denken Sie daran, dass durch die Deaktivierung von HSTS sensible Daten potenziellen Bedrohungen sensible Daten können. Verwenden Sie diese Methode daher nur, wenn der HSTS-Chrome-Fehler Sie beim Surfen stört, und aktivieren Sie sie, sobald Sie die Verbindungsprobleme behoben haben.
Alternative Methode: Chrome DevTools verwenden:
- Öffnen Sie Chrome und navigieren Sie zu der Website, auf der Sie HSTS deaktivieren möchten.
- Öffnen Sie die Chrome DevTools, indem Sie mit der rechten Maustaste auf die Seite klicken, Inspect auswählen und dann zur Registerkarte Network wechseln.
- Laden Sie die Seite neu (Sie können Strg + R oder Befehl + R verwenden).
- Suchen Sie nach der ersten Anfrage (die erste Anfrage, wenn Sie die Seite neu laden). Es sollte das HTML-Dokument sein.
- Suchen Sie im Abschnitt Header der Anfrage nach dem Header Strict-Transport-Security.
- Sie können den Wert für das Höchstalter auf 0 ändern oder die gesamte Kopfzeile entfernen. Dadurch wird Chrome angewiesen, HSTS für die angegebene Domäne nicht zu erzwingen.
Wie kann man HSTS im Firefox-Browser deaktivieren?
Sie können die HSTS-Einstellungen in Firefox für eine bestimmte Website deaktivieren, indem Sie die folgenden Schritte ausführen:
- Geben Sie about:config in die Adressleiste ein und drücken Sie die Eingabetaste.
- Akzeptieren Sie das Risiko und machen Sie weiter.
- Geben Sie in der Suchleiste stricttransportsecurity ein.
- Sie sollten einen Eintrag namens network.stricttransportsecurity.preloadlist sehen. Doppelklicken Sie darauf, um den Wert auf false umzuschalten. Dadurch wird HSTS deaktiviert.
Denken Sie daran, dass beim Löschen von HSTS die HSTS-Einstellungen für alle Websites gelöscht werden, nicht nur für diejenige, mit der Sie Probleme haben. Nachdem Sie diese Schritte durchgeführt haben, müssen Sie Mozilla Firefox neu starten, damit die Änderungen wirksam werden.
Wenn Sie die Änderungen nach einem Neustart von Firefox nicht sehen, müssen Sie möglicherweise die Daten im Cache löschen. Gehen Sie dazu in das Menü Bearbeiten, wählen Sie Einstellungen, klicken Sie auf Datenschutz und Sicherheit und dann auf die Schaltfläche Daten löschen. Aktivieren Sie das Kontrollkästchen für zwischengespeicherte Webinhalte und klicken Sie auf die Schaltfläche Löschen . Nachdem Sie den HSTS-Cache gelöscht haben, starten Sie Firefox erneut.
FAQ
Wird HSTS noch verwendet?
Ja, HSTS wird nach wie vor als Website-Sicherheitsmechanismus verwendet, um die Verwendung von sicheren Verbindungen über HTTPS durch Webbrowser zu erzwingen und alle Daten während der Übertragung zu schützen.
Unterstützen alle Browser HSTS?
Ja, die meisten modernen Webbrowser, einschließlich Chrome, Firefox, Safari, Edge und andere, unterstützen HSTS. Es ist jedoch immer ratsam, sich in der spezifischen Dokumentation des jeweiligen Browsers über die neuesten Informationen zu informieren.
Ist HSTS standardmäßig aktiviert?
HSTS ist nicht auf allen Websites standardmäßig aktiviert. Website-Administratoren müssen ihre Server so konfigurieren, dass sie den HSTS-Header in die Antwort einfügen, der die Dauer angibt, für die HSTS durchgesetzt werden soll. Sobald ein Browser auf den HSTS-Header stößt, erinnert er sich daran, sichere Verbindungen für die angegebene Dauer zu erzwingen.
Muss ich HSTS aktivieren?
Wir empfehlen die Implementierung von HSTS, um die Sicherheit zu erhöhen, indem sichergestellt wird, dass die gesamte Kommunikation mit dem Server über eine sichere HTTPS-Verbindung erfolgt. Es ist jedoch nicht obligatorisch, und die Entscheidung, HSTS zu aktivieren, hängt von den spezifischen Sicherheitsanforderungen und -überlegungen ab.
Was sind die Risiken eines fehlenden HSTS?
Ohne HSTS besteht die Gefahr von Man-in-the-Middle-Angriffen, bei denen ein Angreifer potenziell ungesicherte Verbindungen abfangen und manipulieren könnte. HSTS trägt zur Minderung dieses Risikos bei, indem es HTTPS erzwingt und die Benutzer vor bestimmten Arten von Sicherheitsbedrohungen schützt.
Sollte ich die HSTS-Einstellungen löschen?
Das Löschen der HSTS-Einstellungen ist für normale Benutzer in der Regel nicht erforderlich. Wenn Sie jedoch aufgrund eines Datenschutzfehlers oder falscher HSTS-Informationen anhaltende Probleme beim Zugriff auf eine Website haben, deaktivieren Sie die HSTS-Einstellungen und prüfen Sie, ob dies hilft.
Ist HSTS sicher?
Ja, HSTS ist sicher und erhöht die Web-Sicherheit, indem es gewährleistet, dass die Kommunikation mit einer Website über sicheres HTTPS erfolgt. Wie jede Sicherheitsmaßnahme sollten Sie jedoch auch diese korrekt konfigurieren, um mögliche Probleme und andere HTTPS-Fehler zu vermeiden.
Gibt es Nachteile bei der Verwendung von HSTS?
Wenn die Website HTTPS nicht unterstützt, kann HSTS bei Problemen mit dem SSL/TLS-Zertifikat möglicherweise den Zugriff auf eine Website sperren. Jede Website sollte HTTPS aktivieren und die Standard-SEO- und Sicherheitspraktiken einhalten.
Schlussfolgerung
Die Deaktivierung der HSTS-Einstellungen in Chrome und Firefox ist einfach, wenn Sie die Schritte kennen. Lassen Sie nicht zu, dass HSTS-Fehler Ihr Surfen beeinträchtigen. Mit ein paar kleinen Anpassungen können Sie die HSTS-Einstellungen kontrollieren und mögliche Probleme beheben.
Da Sie nun wissen, wie Sie HSTS in Chrome und Firefox deaktivieren können, sollten Sie Browserfehler effizienter erkennen und beheben können. Denken Sie jedoch daran, dass das Ausschalten von Sicherheitsfunktionen nur als letzter Ausweg erfolgen sollte.
Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!
Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10