HTTP-Strict-Transport-Security
Was ist die max-age?
Die max-age gibt dem Browser an,
wie lange er sich die Verbindung merken soll.
Du hast einen HSTS-Header mit einer max-age Wert von einem Jahr.
Nun ruft ein Besucher deine Webseite zum ersten Mal am 23.03.2022 auf.
Der HSTS-Header teilt dem Browser nun mit,
dass er Verbindungen zu deiner Webseite
ausschließlich über eine verschlüsselte Verbindung herstellen darf
und merkt das für den Zeitraum der max-age vor.
Nun am 23.03.2023 1 Jahr später
läuft der Header nur lokal beim Websitebesucher ab.
Bei der nächsten Verbindung wird der Browser
also zuerst wieder versuchen eine unverschlüsselte Verbindung aufzubauen
und muss erneut auf https weitergeleitet werden.
Um sich jedes mal den SSL-Handshake zu sparen
macht es Sinn den max-age Wert so hoch zu setzen,
dass der HSTS-Header so lang wie möglich gespeicher wird,
damit nur selten weitergeleitet werden muss.
wenn Sie SSL nur ausprobieren
in Zukunft ihre Webseite wieder ohne SSL zu betreiben,
so sollten Sie den max-age Wert nicht zu hoch setzen
Beispiel: