Nächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
hsts [2013/06/27 16:52] – angelegt bush | hsts [2013/06/28 08:43] – [Quellen] bush |
---|
<code>strict-transport-security max-age=xxx;includeSubDomains</code> | <code>strict-transport-security max-age=xxx;includeSubDomains</code> |
| |
Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger. | Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.\\ |
| Mit dem zusätzlichen Parameter "includeSubDomains" schließt man auch alle Subdomains mit ein. |
| |
| Ein Original-Header sieht dann z.B. so aus: |
| |
| <code>HTTP/1.1 200 OK |
| Date Fri, 28 Jun 2013 06:10:04 GMT |
| Server Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23 |
| Strict-Transport-Security max-age=31622400;includeSubDomains |
| Last-Modified Thu, 01 Jan 1970 00:00:00 GMT |
| Keep-Alive timeout=5, max=100 |
| Connection Keep-Alive |
| Transfer-Encoding chunked |
| Content-Type text/html</code> |
| |
| |
| |
| \\ |
==== Einstellung für Apache 2 ==== | ==== Einstellung für Apache 2 ==== |
| |
LoadModule headers_module modules/mod_headers.so | LoadModule headers_module modules/mod_headers.so |
2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: | 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: |
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains" | <code> |
| <VirtualHost _default_:443> |
| |
| # SSL Engine Switch: |
| # Enable/Disable SSL for this virtual host. |
| SSLEngine on |
| |
| # HSTS Headerfür 366 Tage incl. Subdomains |
| Header always set Strict-Transport-Security "max-age=31622400;includeSubDomains" |
| |
| ... |
| |
| </VirtualHost> |
| </code> |
| |
\\ | \\ |
===== Quellen ===== | ===== Quellen ===== |
| |
https://www.zendas.de/themen/server/hsts_header.html\\ | Zu empfehlen:\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\ |
http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ | http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ |
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ | https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ |
| https://www.zendas.de/themen/server/hsts_header.html\\ |
| |
| |