[Eisfair] APACHE <--> Nexcloud --> Strict-Transport-Security
Peter Bäumer
peter at baeumer.dd-dns.de
So Sep 9 10:29:33 CEST 2018
Glück Auf! Newsgroup,
meine Nextcloud (Hand)Installation ist am meckern das ich
"Strict-Transport-Security" nicht auf "15552000" Sekunden eingestellt habe.
In der Doku von Nextcloud steht:
This can be achieved by setting the following settings within the Apache
VirtualHost file:
<VirtualHost *:443>
ServerName cloud.nextcloud.com
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
</VirtualHost>
https://docs.nextcloud.com/server/13/admin_manual/configuration_server/harden_server.html
Da ich keinen VHost eingerichtet habe würde ich eine htst.conf Datei
unter /etc/apache2/mods-available anlegen und zu
/etc/apache2/mods-enabled Verlinken, mit dem Inhalt:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000;
includeSubDomains"
</IfModule>
Wäre das vorgehen soweit ok?
Bei dem Nextcloud Eisfair-Paket habe ich zu HSTS nichts in den Skripten
gefunden, gibt es da eventuell Probleme mit HSTS?
Siehe auch:
https://www.mgm-sp.com/wp-content/uploads/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf
Mehr Informationen über die Mailingliste Eisfair