HSTS-Header

Prüft Strict-Transport-Security-Header — blockiert HTTPS-Downgrade-Angriffe.

Was dieser Check misst

Wir lesen den `Strict-Transport-Security`-HTTP-Response-Header. Muss max-age ≥ 1 Jahr (31536000 Sekunden) haben und idealerweise includeSubDomains und preload.

Warum es wichtig ist

HSTS sagt Browsern: verbinde niemals per HTTP mit dieser Domain. Blockiert Downgrade-Angriffe in feindlichen Netzen (Flughafen-WLAN, Proxies). Nutzer sind für max-age geschützt.

Wie unser Audit es erkennt

Response-Header nach Strict-Transport-Security parsen. Max-age-Wert und Vorhandensein von includeSubDomains + preload validieren.

Typische Findings

error_outlineKein HSTS-Header — HTTPS läuft, aber Downgrade möglich.
error_outlinemax-age=300 (5 Minuten) — zu kurz, sinnlos.
error_outlineKein includeSubDomains — Subdomains weiter verwundbar.

So behebst du es

`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload` setzen. Domain bei hstspreload.org einreichen wenn alle Subdomains HTTPS liefern. Wirksam beim ersten Besuch.

Copy-Paste Fix-Prompt für deinen Stack

Lovable · Cursor · Bolt · v0 · Replit · Windsurf · Claude Code · Base44

Zum Fix-Prompt →

Häufige Fragen

Kann HSTS mich aussperren?expand_more

Ja — bei HTTPS-Break können HSTS-Nutzer nicht auf HTTP zurück. Certs auto-renewen.

Soll das auf deiner Site geprüft werden?

Pantra läuft den vollen Audit (SEO, Sicherheit, GEO, Performance, Schema, Technik, Bilder) in 10 Sekunden und generiert stack-spezifische Fix-Prompts.

Site scannen

HSTS-Header

Was dieser Check misst

Warum es wichtig ist

Wie unser Audit es erkennt

Typische Findings

So behebst du es

Häufige Fragen

Soll das auf deiner Site geprüft werden?

Ähnliche Checks

HTTPS aktiv

TLS-Version

Mixed Content

SSL-Zertifikat