HSTS
Als eine Maßnahme gegen sogenannte Man-in-the-middle-Angriffe wurde im September 2009 erstmals das HTTP Strict Transport Security- oder kurz HSTS-Verfahren vorgeschlagen. Im November 2012 wurde HSTS als RFC 6797 herausgegeben. Der vom Betreiber entsprechend eingerichtete Dienst sendet hier den besonderen HTTP response header namens „Strict-Transport-Security“ und unter anderem einen Zeitraum, für den nach Ende einer Sitzung bei der erneuten Kommunikation die Gegenseite wiedererkannt wird und zwangsweise die Verschlüsselung erzwingt. Das gilt für alle Ports des IP-Protokolls und alle im Zertifikat enthaltenen Subdomains.
Ein dafür ausgelegter Browser – Stand August 2010 sind der Firefox (ab Ausgabe 4, Beta), dessen NoScript-Erweiterung sowie Chrome (ab Ausgabe 4.0.211) – wird daraufhin diese Sitzung (englisch session) für die angegebene Zeit ausschließlich verschlüsselt abwickeln. Dazu gehört auch die eigenständige Umwandlung von HTTP-Adressen in HTTPS sowie die Ausgabe einer Fehlermeldung und der Abbruch der Verbindung, falls die verschlüsselte Übertragung irgendeine Fehlermeldung bewirkt.
Voraussetzung ist natürlich, dass die ursprüngliche Anfrage (initial request) erfolgreich vom (originalen) HTTPS-Server aufgebaut wurde.
