Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende ÜberarbeitungNächste ÜberarbeitungBeide Seiten der Revision |
hsts [2013/06/28 08:31] – [Header-Syntax] bush | hsts [2013/06/28 08:51] – [HTTP Strict Transport Security (HSTS)] bush |
---|
| |
**Der HSTS-Schutz ist nur dann erforderlich, wenn Webseiten, die eigentlich eine sichere Verbindung erfordern, beim ersten Aufruf mit einer unsicheren Verbindung gerufen werden. Das hat mit auch mit Unwissenheit oder Gleichgültigkeit auf der Nutzer-Seite zu tun.** | **Der HSTS-Schutz ist nur dann erforderlich, wenn Webseiten, die eigentlich eine sichere Verbindung erfordern, beim ersten Aufruf mit einer unsicheren Verbindung gerufen werden. Das hat mit auch mit Unwissenheit oder Gleichgültigkeit auf der Nutzer-Seite zu tun.** |
| |
| **Dieser Artikel richtet sich primär an Webserver-Administratoren. Am Ende der Seite werden aber auch für die Nutzer auf der Webclient-Seite einige Tipps für die grundsätzliche Verbesserung der Sicherheit bei Web-Verbindungen gegeben.** |
| |
| |
\\ | \\ |
<code>strict-transport-security max-age=xxx;includeSubDomains</code> | <code>strict-transport-security max-age=xxx;includeSubDomains</code> |
| |
Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger. | Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.\\ |
| Mit dem zusätzlichen Parameter "includeSubDomains" schließt man auch alle Subdomains mit ein. |
| |
Ein Original-Header sieht dann z.B. so aus: | Ein Original-Header sieht dann z.B. so aus: |
Date Fri, 28 Jun 2013 06:10:04 GMT | Date Fri, 28 Jun 2013 06:10:04 GMT |
Server Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23 | Server Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23 |
Strict-Transport-Security max-age=31622400 | Strict-Transport-Security max-age=31622400;includeSubDomains |
Last-Modified Thu, 01 Jan 1970 00:00:00 GMT | Last-Modified Thu, 01 Jan 1970 00:00:00 GMT |
Keep-Alive timeout=5, max=100 | Keep-Alive timeout=5, max=100 |
LoadModule headers_module modules/mod_headers.so | LoadModule headers_module modules/mod_headers.so |
2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: | 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: |
Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains" | <code> |
| <VirtualHost _default_:443> |
| |
| # SSL Engine Switch: |
| # Enable/Disable SSL for this virtual host. |
| SSLEngine on |
| |
| # HSTS Headerfür 366 Tage incl. Subdomains |
| Header always set Strict-Transport-Security "max-age=31622400;includeSubDomains" |
| |
| ... |
| |
| </VirtualHost> |
| </code> |
| |
\\ | \\ |
===== Quellen ===== | ===== Quellen ===== |
| |
https://www.zendas.de/themen/server/hsts_header.html\\ | Zu empfehlen:\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\ |
http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ | http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ |
http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ | http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ |
https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ | https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ |
| https://www.zendas.de/themen/server/hsts_header.html\\ |
| |
| |