Nächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
hsts [2013/06/27 16:52] – angelegt bush | hsts [2013/06/28 08:51] – [HTTP Strict Transport Security (HSTS)] bush |
---|
| |
**Der HSTS-Schutz ist nur dann erforderlich, wenn Webseiten, die eigentlich eine sichere Verbindung erfordern, beim ersten Aufruf mit einer unsicheren Verbindung gerufen werden. Das hat mit auch mit Unwissenheit oder Gleichgültigkeit auf der Nutzer-Seite zu tun.** | **Der HSTS-Schutz ist nur dann erforderlich, wenn Webseiten, die eigentlich eine sichere Verbindung erfordern, beim ersten Aufruf mit einer unsicheren Verbindung gerufen werden. Das hat mit auch mit Unwissenheit oder Gleichgültigkeit auf der Nutzer-Seite zu tun.** |
| |
| **Dieser Artikel richtet sich primär an Webserver-Administratoren. Am Ende der Seite werden aber auch für die Nutzer auf der Webclient-Seite einige Tipps für die grundsätzliche Verbesserung der Sicherheit bei Web-Verbindungen gegeben.** |
| |
| |
\\ | \\ |
<code>strict-transport-security max-age=xxx;includeSubDomains</code> | <code>strict-transport-security max-age=xxx;includeSubDomains</code> |
| |
Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger. | Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.\\ |
| Mit dem zusätzlichen Parameter "includeSubDomains" schließt man auch alle Subdomains mit ein. |
| |
| Ein Original-Header sieht dann z.B. so aus: |
| |
| <code>HTTP/1.1 200 OK |
| Date Fri, 28 Jun 2013 06:10:04 GMT |
| Server Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23 |
| Strict-Transport-Security max-age=31622400;includeSubDomains |
| Last-Modified Thu, 01 Jan 1970 00:00:00 GMT |
| Keep-Alive timeout=5, max=100 |
| Connection Keep-Alive |
| Transfer-Encoding chunked |
| Content-Type text/html</code> |
| |
| |
| |
| \\ |
==== Einstellung für Apache 2 ==== | ==== Einstellung für Apache 2 ==== |
| |
LoadModule headers_module modules/mod_headers.so | LoadModule headers_module modules/mod_headers.so |
2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: | 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: |
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains" | <code> |
| <VirtualHost _default_:443> |
| |
| # SSL Engine Switch: |
| # Enable/Disable SSL for this virtual host. |
| SSLEngine on |
| |
| # HSTS Headerfür 366 Tage incl. Subdomains |
| Header always set Strict-Transport-Security "max-age=31622400;includeSubDomains" |
| |
| ... |
| |
| </VirtualHost> |
| </code> |
| |
\\ | \\ |
===== Quellen ===== | ===== Quellen ===== |
| |
https://www.zendas.de/themen/server/hsts_header.html\\ | Zu empfehlen:\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\ |
http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ | http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ |
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ | https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ |
| https://www.zendas.de/themen/server/hsts_header.html\\ |
| |
| |