In Liveconfig 1.9.0 kein Strict Transport Security mehr?

HSTS-Header haben mit LiveConfig IMHO nichts zu tun. Wäre auch kontraproduktiv, wenn LC hier eigenständig die HSTS-Header für Kunden-Verträge verschickt (Welche Gültigkeitsdauer? Mit und ohne Subdomains? Was ist bei Wildcard-SSL-Zertifikaten? Evntl. soll doch Content ohne HTTPS übertragen werden?).

Also den Header in der .htaccess selbst setzen, da bleibt der dann normal auch drinnen.

Zitat von overflo

Danke für die schnelle Antwort!
Das mit der .htaccess Datei hab ich nicht probiert, ich habe folgendes in der .httpd.conf Datei hinzugefügt:

Code

<IfModule mod_ssl.c>
  Header always set Strict-Transport-Security "max-age=63072000"
</IfModule>

Funktioniert nun alles wieder wie es sein soll

LG.
Florian

Bei jeder Owncloud-Installation muss man erst die .htaccess-Datei bearbeiten... wäre es nicht möglich, dass dieser Wert schon standardmäßig definiert wird?

Muss man nicht. Es ist nicht so, als würde der Server plötzlich unsicher sein. Wenn ownCloud es vorschlägt, darf es das gerne tun, aber völlig zwanglos.

Kannst es aber zum Beispiel in der Datei "/etc/apache2/mods-available/headers.conf" (am sinnvollsten, denke ich) so global aktivieren:

<IfModule mod_ssl.c>
        Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains;"
</IfModule>

Unbedingt antondollmaiers Post lesen.

Zitat von Servercow

Kannst es aber zum Beispiel in der Datei "/etc/apache2/mods-available/headers.conf" (am sinnvollsten, denke ich) so global aktivieren

Ich würde /etc/apache2/conf.d bzw /etc/apache2/conf-available empfehlen.