Der neue Standard HSTS soll künftig dafür sorgen, dass Websites nur noch über HTTPS erreichbar sind, wenn sie entsprechend konfiguriert sind.
Die Internet Engineering Task Force (IETF) hat den RFC 6797 veröffentlicht und damit HTTP Strict Transport Security (HSTS) formal als Internet-Standard festgeschrieben. Webserver, die entsprechend konfiguriert sind, erlauben damit nur noch verschlüsselte Verbindungen. Dies setzt allerdings voraus, das Webbrowser auf das vom Server verschickten Header-Feld wie gewünscht reagieren. Gleichzeitig ist der Sicherheitsmechanismus nicht von Haus aus immun gegen Man-in-the-Middle-Angriffe, die den Header manipulieren. Browser wie Chrome und Firefox wollen deshalb eine Liste von Websites führen, die HSTS-kompatibel sind.
In der neuesten Version unterstützt der auf Sicherheit getrimmte Webserver erstmals das kürzlich standardisierte HSTS-Protokoll.