Thema: Web-Security
SSL, TLS und Security Headers für Websites und APIs
Viele Webprobleme beginnen nicht im eigentlichen App-Code, sondern bei Zertifikaten, Redirects, Protokollen oder Headern. Dieser Hub verbindet genau diese Basisschicht mit verständlichen Erklärseiten.
Typische Fragen
- Ist ein Host technisch sauber über HTTPS erreichbar und deckt das Zertifikat den Hostnamen ab?
- Welche Security Headers fehlen oder sind zu schwach gesetzt?
- Warum sieht die Seite in einem Browser normal aus, im anderen aber fehlerhaft oder unsicher?
Typische Probleme
- Zertifikate laufen ab oder decken Redirect-Ziele und Alternativ-Hosts nicht ab.
- HSTS, CSP oder Referrer-Policy fehlen oder werden zu aggressiv ausgerollt.
- Header-Checks scheitern im Browser an CORS und werden dadurch falsch als 'Tool-Fehler' gelesen.
Sinnvolle nächste Schritte
- Starte mit dem TLS-Check für Host, Zertifikat und Protokolle.
- Prüfe danach Header, wenn die Zielseite CORS für Browser-Lesezugriffe erlaubt.
- Nutze die Zertifikats- und Header-Guides, wenn du Fehlermeldungen oder Security-Audits einordnen musst.
FAQ
Reicht ein gutes Zertifikat für eine sichere Website?
Nein. Redirects, Protokolle, Cookies, Header und App-Sicherheit bleiben entscheidend.
Warum ist der Header-Checker bewusst eingeschränkt?
Weil der Browser fremde Antworten nur bei passendem CORS lesen darf. Das ist eine reale Plattformgrenze, kein Designfehler.
Warum gehören TLS und Security Headers in einen Hub?
Weil beide zusammen den ersten Eindruck von technischer Sauberkeit, Vertrauen und Browser-Hardening prägen.