Was ist das?
HSTS-Preload ist der „Diese Domain gilt für immer als HTTPS-only"-Mechanismus der Browser:
Chrome, Firefox, Safari und Edge tragen eine fest eingebackene Liste an Domains, die niemals
per HTTP geladen werden dürfen - noch vor dem ersten Handshake. Wer auf die Liste kommen
will, reicht seine Domain unter hstspreload.org ein; die Seite prüft vier harte Voraussetzungen
automatisch und lehnt alles andere ab.
Dieses Werkzeug fährt dieselben vier Prüfungen (HTTPS erreichbar, HSTS-Header mit max-age >= 1 Jahr, includeSubDomains, preload sowie
ein HTTP → HTTPS-Redirect auf Port 80) plus ein Verdict, sodass Sie Lücken vor
der Einreichung schließen können.
Wann brauche ich das?
Sinnvoll vor der Einreichung bei hstspreload.org, nach einer TLS-Cert- oder CDN-Migration die den HSTS-Header gekippt haben könnte, oder als regelmäßiger Sanity-Check, dass der HTTP-zu-HTTPS-Redirect auf Port 80 noch sitzt. Eine Entfernung aus der Preload-Liste dauert Monate - die Konfiguration vor der Einreichung sauber zu haben spart viel Schmerz.