Gib eine Adresse ein — wir rufen sie einmalig ab und zeigen, welche HTTP-Security-Header gesetzt sind (HSTS, CSP, X-Frame-Options u. a.) und wie es um dein TLS-Zertifikat steht. Mit Sicherheits-Score und konkreten Hinweisen.
Die HTTP-Response-Header deiner Startseite auf die wichtigsten Sicherheitsmerkmale (HSTS, Content-Security-Policy, X-Content-Type-Options, Clickjacking-Schutz, Referrer- und Permissions-Policy) sowie das TLS-Zertifikat (Gültigkeit, Restlaufzeit).
Je höher, desto besser — 100 heißt: alle geprüften Header sind gesetzt. Am wichtigsten sind HSTS und eine Content-Security-Policy; sie haben das größte Gewicht. Fehlende „low“-Header sind kein Drama, aber schnell ergänzt.
Eine CSP ist der aufwendigste Header, weil sie zur Seite passen muss — falsch gesetzt blockiert sie eigene Skripte. Deshalb fehlt sie oft. Wir richten sie im Rahmen der Wartung passgenau ein.
Nein. Wir rufen die eingegebene URL einmalig serverseitig ab (wie ein Browser) und zeigen dir das Ergebnis. Es wird nichts protokolliert oder gespeichert.
Ja. Es werden ausschließlich öffentlich erreichbare Adressen abgerufen — genau wie ein normaler Website-Aufruf. Interne oder private Ziele (localhost, 192.168.x.x, Cloud-Metadaten) werden serverseitig blockiert.