Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
hsts [2013/06/27 16:52] – angelegt bushhsts [2013/06/28 08:43] – [Quellen] bush
Zeile 50: Zeile 50:
 <code>strict-transport-security max-age=xxx;includeSubDomains</code> <code>strict-transport-security max-age=xxx;includeSubDomains</code>
  
-Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.+Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.\\ 
 +Mit dem zusätzlichen Parameter "includeSubDomains" schließt man auch alle Subdomains mit ein.
  
 +Ein Original-Header sieht dann z.B. so aus:
  
 +<code>HTTP/1.1 200 OK
 +Date                       Fri, 28 Jun 2013 06:10:04 GMT
 +Server                     Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23
 +Strict-Transport-Security  max-age=31622400;includeSubDomains
 +Last-Modified              Thu, 01 Jan 1970 00:00:00 GMT
 +Keep-Alive                 timeout=5, max=100
 +Connection                 Keep-Alive
 +Transfer-Encoding          chunked
 +Content-Type               text/html</code>
 +
 +
 +
 +\\
 ==== Einstellung für Apache 2 ==== ==== Einstellung für Apache 2 ====
  
Zeile 58: Zeile 73:
   LoadModule headers_module modules/mod_headers.so   LoadModule headers_module modules/mod_headers.so
 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten:
-  Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains"+<code> 
 +<VirtualHost _default_:443>
  
 +#   SSL Engine Switch:
 +#   Enable/Disable SSL for this virtual host.
 +SSLEngine on
 +
 +# HSTS Headerfür 366 Tage incl. Subdomains
 +Header always set Strict-Transport-Security "max-age=31622400;includeSubDomains"
 +
 +...
 +
 +</VirtualHost>                                  
 +</code>
  
 \\ \\
 ===== Quellen ===== ===== Quellen =====
  
-https://www.zendas.de/themen/server/hsts_header.html\\ +Zu empfehlen:\\ 
-http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\+http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\
 http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\
 http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\
 https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\
 +https://www.zendas.de/themen/server/hsts_header.html\\
  
  

Zuletzt angesehen:

QR-Code
QR-Code HTTP Strict Transport Security (HSTS) (erstellt für aktuelle Seite)