Je winkelwagen is leeg
Producten die je toevoegt, verschijnen hier.
Activeer HSTS-header op gedeelde hosting via .htaccess. Sluit de SSL-stripping gap, haal 100% op Internet.nl en volg het stapsgewijze rollout-plan.
Samenvatting: HSTS-header inschakelen op gedeelde hosting
Een SSL-certificaat alleen sluit de SSL-stripping gap niet: het eerste HTTP-verzoek blijft onbeveiligd totdat de redirect plaatsvindt. HSTS dicht dat gat door de browser te vertellen altijd HTTPS te gebruiken, nog vóór er verbinding wordt gemaakt. Je activeert het met twee regels in .htaccess, ook zonder root-toegang. Bouw de max-age stapsgewijs op (300 seconden naar 1 jaar) om jezelf niet buiten te sluiten, en meld je pas aan bij de HSTS preload list als alle subdomeinen permanent op HTTPS draaien.
Je hebt een SSL
KeurigOnline zegtSSL
KeurigOnline zegtHTTP
KeurigOnline zegtRedirect
HTTP Strict Transport Security (HSTS
KeurigOnline zegtHSTSStrict-Transport-Security header vertel je de browser dat hij een domein nooit meer via HTTP mag benaderen, ook niet als iemand per ongeluk http:// intypt. Het mooie: op gedeelde hosting activeer je dit met twee regels in je .htaccess-bestand, zonder root-toegang of serverbeheer. In dit artikel lees je precies hoe, inclusief de stapsgewijze rollout die voorkomt dat je jezelf per ongeluk buitensluit.

Definitie: HSTS (HTTP Strict Transport Security) is een responsheader die de browser dwingt om een domein uitsluitend via HTTPS te benaderen, ook bij het allereerste contact, nog vóór er een verbinding tot stand komt.
Een SSL-certificaat versleutelt het verkeer zodra een HTTP
KeurigOnline zegtHTTP
Zonder HSTS: browser vraagt http://jouwsite.nl op → verzoek gaat onbeveiligd het netwerk op → server stuurt redirect naar https:// → pas nu is de verbinding versleuteld. Het venster tussen stap 1 en stap 3 is precies waar SSL-stripping toeslaat: een aanvaller onderschept het eerste verzoek en houdt de bezoeker stiekem op HTTP.
Met HSTS: browser heeft ooit eerder de Strict-Transport-Security header ontvangen → browser herschrijft intern, vóór er ook maar een pakketje het netwerk op gaat, elk verzoek naar https:// → er is geen onbeveiligd moment meer. SSL-stripping op dit domein is niet meer mogelijk, ongeacht wat een aanvaller op het tussenliggende netwerk probeert.
De kern om te onthouden: een HTTPS-redirect reageert nadat de browser al contact heeft gezocht. HSTS voorkomt dat onbeveiligde contact vooraf. Ze zijn aanvullend, niet uitwisselbaar, je hebt allebei nodig voor een volledig gesloten keten.
Bijna 80% van alle SSL/TLS
KeurigOnline zegtTLS
Toch loopt HSTS-adoptie ver achter op die van SSL
KeurigOnline zegtSSL
Goed nieuws voor wie nu activeert: 66% laat deze laag simpelweg liggen. Met twee regels in je .htaccess behoor je meteen tot de veiligere helft van het internet, zonder dure beveiligingsoplossing.
HSTS is geen losstaande maatregel, hij bouwt voort op wat je al hebt staan. Controleer deze vier punten voordat je de header activeert:
http:// worden ingeladen (mixed content), breekt de pagina of toont de browser waarschuwingen zodra HSTS actief is..htaccess. Zonder redirect blijven directe HTTP-links elders op het web bezoekers naar een pagina sturen die niet meer bereikbaar is.includeSubDomains te gebruiken. Eén subdomein zonder geldig certificaat wordt dan in één klap onbereikbaar.Staat dit alles op orde? Dan kun je direct door naar de implementatie.
Op gedeelde hosting heb je geen toegang tot de Apache
KeurigOnline zegtApachemod_headers, standaard beschikbaar bij vrijwel elke Nederlandse hostingprovider, activeer je de header met een paar regels in .htaccess:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>Wat elk onderdeel doet:
max-age=31536000: het aantal seconden (hier: 1 jaar) dat de browser onthoudt dat dit domein alleen via HTTPS mag. Hoe hoger deze waarde, hoe langer de bescherming aanhoudt, maar ook hoe langer je vastzit als er iets misgaat.includeSubDomains: breidt de regel uit naar elk subdomeinmail.jouwsite.nl tot shop.jouwsite.nl. Alleen toevoegen als al die subdomeinen daadwerkelijk HTTPS ondersteunen.preload: een signaal dat je bereid bent het domein op te nemen in de ingebakken preload-lijst van browsers, zodat zelfs het allereerste bezoek al beveiligd is. Zie de preload-sectie verderop..htaccess.Open de DevTools van je browser (F12), ga naar het tabblad Network, laad je website opnieuw en klik op het hoofdverzoek. Controleer onder Response Headers of Strict-Transport-Security aanwezig is met de waarde die je zojuist instelde. Zie je hem niet, controleer dan of mod_headers actief is bij je hostingprovider of of een cachelaag de oude headers nog serveert.

Let op: direct starten met max-age=31536000
Bouw de waarde daarom stapsgewijs op, precies de stap die de meeste handleidingen overslaan.
HSTS uitrollen in 4 stappen
Voeg includeSubDomains pas toe zodra elk subdomein
KeurigOnline zegtSubdomeinpreload voor de laatste stap. Zet automatische SSL-verlenging aan (bijvoorbeeld Let's Encrypt
KeurigOnline zegtLet's Encrypt
Bij WordPress is de plek in .htaccess belangrijker dan bij een statische website. WordPress beheert een eigen blok, herkenbaar aan de regels # BEGIN WordPress en # END WordPress, en herschrijft dat blok automatisch bij elke permalink-wijziging. Plaats de HSTS-code daarom altijd boven # BEGIN WordPress:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>
# BEGIN WordPress
...
# END WordPressStaat de header onder of tussen de WordPress-regels, dan bestaat het risico dat een toekomstige herschrijving door WordPress zelf de header overschrijft of negeert.
Plugins zoals Really Simple SSL kunnen HSTS ook via de WordPress
KeurigOnline zegtWordPress.htaccess-methode: de header verdwijnt zodra je de plugin uitschakelt of vervangt, terwijl de .htaccess-regel onafhankelijk van je pluginkeuze blijft functioneren. Voor meer technische beveiligingsmaatregelen naast HSTS, zoals inlogbeveiliging en bestandsrechten, zie onze gids over WordPress beveiligen.
Standaard HSTS beschermt alleen terugkerende bezoekers: de browser moet minstens één keer de header hebben ontvangen voordat hij de regel onthoudt. Bij het allereerste bezoek is er dus nog altijd dat ene onbeveiligde moment. De preload list lost dat op door domeinen rechtstreeks in de browser zelf op te nemen, nog vóór iemand de site ooit heeft bezocht.
De schaal is aanzienlijk: sinds april 2026 staan ongeveer 120.000 domeinen wereldwijd in de Chrome HSTS preload list[5], waarvan 2.671 met een .nl-extensie, goed voor de achtste plek wereldwijd per TLD, na .com en .de[6]. Toch heeft van alle sites die al wel HSTS versturen, slechts 35,7% ook daadwerkelijk preload geactiveerd[5], een duidelijke kans om je te onderscheiden.
Aanmelden doe je via hstspreload.org. De vereisten zijn strikt: max-age van minimaal 31.536.000 seconden, includeSubDomains en preload moeten alle drie aanwezig zijn in de header voordat het formulier je domein accepteert.
Let op: preload is moeilijk terug te draaien
Drie manieren om te bevestigen dat de header goed staat, van snel tot officieel:
Strict-Transport-Security. Staat hij er met de juiste max-age, dan werkt de basis.Een geslaagde uitkomst toont: de header is aanwezig, de max-age klopt met de fase waarin je zit, en zodra je daaraan toe bent verschijnen ook includeSubDomains en preload in het resultaat.
Voor een volledige score op 100% scoren op Internet.nl is HSTS een verplichte subtest binnen de HTTPS-categorie: de test controleert expliciet op max-age ≥ 31.536.000, includeSubDomains én preload, alle drie tegelijk[7].
Voor Nederlandse overheidsorganisaties is dit sinds 1 juli 2023 geen keuze meer: de Wet Digitale Overheid verplicht HTTPS én HSTS voor elke publiek toegankelijke overheidswebsite[8]. Forum Standaardisatie heeft HTTPS en HSTS bovendien op de "pas toe of leg uit"-lijst geplaatst[9], de facto standaard voor elke organisatie die zich aan de overheid conformeert.
Voor commerciële websites is HSTS niet wettelijk verplicht, maar het geldt inmiddels als vanzelfsprekend onderdeel van serieus beveiligingsbeleid, precies zoals DNSSEC dat al is. Bij KeurigOnline staat HSTS daarom standaard actief op onze hostingpakketten, samen met DNSSEC
KeurigOnline zegtDNSSEC
Een HTTP-redirect
KeurigOnline zegtRedirect
Ja, via .htaccess met mod_headers, standaard beschikbaar op vrijwel elke Nederlandse hostingomgeving, inclusief DirectAdmin
KeurigOnline zegtDirectAdmin
Begin met 300 seconden om te testen, verhoog dan naar 86.400 (1 dag), vervolgens 604.800 (1 week) en uiteindelijk 31.536.000 seconden (1 jaar). Die laatste waarde is vereist voor Internet.nl 100% en voor aanmelding bij de HSTS preload list.
Niet onmiddellijk. De browser respecteert de max-age die hij al heeft opgeslagen, bij 31.536.000 seconden kan een terugkerende bezoeker je site dus een jaar lang niet bereiken als het SSL-certificaat uitvalt. Begin daarom altijd met een korte max-age en verhoog pas als alles stabiel blijkt. Verwijdering uit de preload list duurt bovendien maanden.
Dan is je website onbereikbaar voor elke bezoeker die de HSTS-instructie al lokaal heeft opgeslagen. Activeer daarom altijd automatische SSL-verlenging, bijvoorbeeld via Let's Encrypt
KeurigOnline zegtLet's Encryptmax-age.
Voor overheidswebsites wel: wettelijk verplicht sinds 1 juli 2023 op grond van de Wet Digitale Overheid. Voor commerciële websites is het niet wettelijk verplicht, maar wel vereist voor een 100%-score op Internet.nl en sterk aanbevolen door Forum Standaardisatie als open standaard.