HSTS is een protocol waarmee aangegeven wordt dat een website voor bijvoorbeeld het komende half jaar alleen nog maar benaderd mag worden via een beveiligde verbinding (HTTPS). Er dient dus altijd eerst een SSL certificaat geïnstalleerd te worden, voordat je dit gaat gebruiken.

Op server niveau hebben we dit niet aangezet. Daarmee zou geforceerd worden dat alle websites die ooit een certificaat hebben gebruikt, deze ook moeten blijven gebruiken. Dat is namelijk waar HSTS voor staat: als de website eenmaal bezocht is met een HTTPS verbinding, wordt niet door de zelfde browser niet meer geaccepteerd als de website daarna benaderd wordt zonder HTTPS. Deze controle wordt een half jaar "onthouden" door de browser.

Als je HSTS wilt aanzetten, dan kan je dat eenvoudig doen door in de hoofdmap in het .htaccess bestand de volgende regel toe te voegen, bij voorkeur bovenaan:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

Op https://www.internet.nl/ kan je testen of de installatie gelukt is.