HTTP Strict Transport Security (HSTS) is een security header die browsers vertelt om je site uitsluitend via HTTPS te laden. Na het ontvangen van de HSTS-header onthoudt de browser dit voor een ingestelde periode en converteert automatisch elk HTTP-verzoek naar HTTPS, zonder de redirect via de server.
Wat is HSTS?
Zonder HSTS kan een browser eerst HTTP proberen en dan via een 301-redirect naar HTTPS gestuurd worden. Die extra stap kost 100-300ms en is een security-risico (man-in-the-middle attack). Met HSTS slaat de browser de HTTP-stap over.
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
| Parameter | Betekenis |
|---|---|
max-age=31536000 | Browser onthoudt HSTS voor 1 jaar |
includeSubDomains | Geldt ook voor alle subdomeinen |
preload | Meld je aan voor de browser HSTS Preload List |
De HSTS Preload List is een ingebouwde lijst in Chrome, Firefox, Safari en Edge die HTTPS forceert nog voor het eerste bezoek.
Waarom belangrijk
HSTS heeft indirecte SEO-impact:
- Elimineert de HTTP-naar-HTTPS redirect (100-300ms sneller, beter voor Core Web Vitals)
- Bespaart een crawl-request per pagina (beter voor crawlbudget)
- Voorkomt mixed content-problemen
- Verhoogt security-score op tools als SecurityHeaders.com
HSTS is geen rankingfactor, maar het verbetert performance en security — beide indirect belangrijk voor SEO.
Voorbeeld
Implementatie in Nginx:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;
Test of HSTS actief is:
curl -sI https://jouwsite.nl | grep -i strict
Gerelateerd
- HTTPS, security headers en SEO
- Gerelateerde termen: HTTPS, CSP, Mixed content