Auch bei eingerichteter HTTP Strict Transport Security (HSTS) müssen laut Google Redirects von HTTP nach HTTPS gesetzt werden.
Die Umstellung einer Webseite von HTTP auf HTTPS setzt das Einrichten von Weiterleitungen von der HTTP- auf die HTTPS-Version der URLs voraus. Damit wird sichergestellt, dass die Nutzer und die Crawler der Suchmaschinen stets auf die verschlüsselten Version der jeweiligen Seiten gelangen.
Auf einigen Webseiten ist darüber hinaus die HTTP Strict Transport Security (HSTS) aktiviert. Dabei wird vom Server ein entsprechender HTTP-Header an den Client geschickt, der diesen anweist, nur die HTTPS-Version einer Seite aufzurufen. Diese Anweisung wird mit einer Gültigkeitsdauer versehen (max-age).
Wichtig ist es laut Google, auch bei aktivierter HSTS Redirects von HTTP nach HTTPS zu setzen. Das erklärte Johannes Müller in einem Thread auf Reddit. Wörtlich sagte er:
"Ja, am besten leitet Ihr immer weiter, wenn Ihr könnt. HSTS ist großartig als Zusatz zu Weiterleitungen und HSTS, aber ich empfehle es nicht, wenn Ihr Eure Seite zum ersten Mal umzieht. Es ist schwer zurückzunehmen und Probleme zu beheben, und Ihr braucht wirklich Zeit, um sicherzustellen, dass Ihr alles richtig eingerichtet habt. Nehmt Euch erst einmal Zeit, HTTPS richtig einzurichten, und denkt dann über die Auswirkungen von HSTS nach."
Die richtige Reihenfolge lautet also: Erst HTTPS sauber einrichten, dann HSTS nachziehen.
Titelbild © jamdesign - Fotolia.com