In Liveconfig 1.9.0 kein Strict Transport Security mehr?

  • Hello an alle,


    Mir ist aufgefallen, dass seit dem Update auf Liveconfig 1.9.0 HSTS nicht mehr aktiv ist.
    Bisher war die Strict Transport Security ohne manuelle Einstellungen aktiviert.
    Aufmerksam wurde ich darauf, da im SSL Check von ssllabs als Wertung nun "A" steht und nicht wie bisher "A+".
    Konkret geht es um eine OwnCloud Installation 8.1.


    Nun meine Frage: Ist das durch Liveconfig verursacht/gewollt?
    Tritt das "Problem" nur bei mir auf?


    Danke im Voraus für Rückmeldungen :)


    LG.
    Florian

  • HSTS-Header haben mit LiveConfig IMHO nichts zu tun. Wäre auch kontraproduktiv, wenn LC hier eigenständig die HSTS-Header für Kunden-Verträge verschickt (Welche Gültigkeitsdauer? Mit und ohne Subdomains? Was ist bei Wildcard-SSL-Zertifikaten? Evntl. soll doch Content ohne HTTPS übertragen werden?).


    Also den Header in der .htaccess selbst setzen, da bleibt der dann normal auch drinnen.

  • Danke für die schnelle Antwort!
    Das mit der .htaccess Datei hab ich nicht probiert, ich habe folgendes in der .httpd.conf Datei hinzugefügt:

    Code
    <IfModule mod_ssl.c>
      Header always set Strict-Transport-Security "max-age=63072000"
    </IfModule>


    Funktioniert nun alles wieder wie es sein soll :)


    LG.
    Florian

  • Danke für die schnelle Antwort!
    Das mit der .htaccess Datei hab ich nicht probiert, ich habe folgendes in der .httpd.conf Datei hinzugefügt:

    Code
    <IfModule mod_ssl.c>
      Header always set Strict-Transport-Security "max-age=63072000"
    </IfModule>


    Funktioniert nun alles wieder wie es sein soll :)


    LG.
    Florian


    Bei jeder Owncloud-Installation muss man erst die .htaccess-Datei bearbeiten... wäre es nicht möglich, dass dieser Wert schon standardmäßig definiert wird?

  • Muss man nicht. Es ist nicht so, als würde der Server plötzlich unsicher sein. Wenn ownCloud es vorschlägt, darf es das gerne tun, aber völlig zwanglos.


    Kannst es aber zum Beispiel in der Datei "/etc/apache2/mods-available/headers.conf" (am sinnvollsten, denke ich) so global aktivieren:


    Code
    <IfModule mod_ssl.c>
            Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
    </IfModule>


    Unbedingt antondollmaiers Post lesen. :)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!