HSTS-Preload-Eligibility

Nach hstspreload.org submission requirements

Prüft eine Domain gegen alle hstspreload.org-Voraussetzungen (max-age >= 1 Jahr, includeSubDomains, preload, HTTP-zu-HTTPS-Redirect).

Was ist das, und wann brauche ich es?

Was ist das?

HSTS-Preload ist der „Diese Domain gilt für immer als HTTPS-only"-Mechanismus der Browser: Chrome, Firefox, Safari und Edge tragen eine fest eingebackene Liste an Domains, die niemals per HTTP geladen werden dürfen - noch vor dem ersten Handshake. Wer auf die Liste kommen will, reicht seine Domain unter hstspreload.org ein; die Seite prüft vier harte Voraussetzungen automatisch und lehnt alles andere ab.

Dieses Werkzeug fährt dieselben vier Prüfungen (HTTPS erreichbar, HSTS-Header mit max-age >= 1 Jahr, includeSubDomains, preload sowie ein HTTP → HTTPS-Redirect auf Port 80) plus ein Verdict, sodass Sie Lücken vor der Einreichung schließen können.

Wann brauche ich das?

Sinnvoll vor der Einreichung bei hstspreload.org, nach einer TLS-Cert- oder CDN-Migration die den HSTS-Header gekippt haben könnte, oder als regelmäßiger Sanity-Check, dass der HTTP-zu-HTTPS-Redirect auf Port 80 noch sitzt. Eine Entfernung aus der Preload-Liste dauert Monate - die Konfiguration vor der Einreichung sauber zu haben spart viel Schmerz.

Server-Pfad: Wir öffnen je eine HTTPS- und HTTP-Verbindung zur Apex-Domain und lesen Header bzw. Redirect-Location. Wir loggen weder Domain noch Ergebnis. Pro IP-Subnetz maximal 12 Anfragen pro Minute.

Beispiele: ·