Hetzner - DokuWiki

HSTS
(Add HSTS (de))
 
Zeile 2: Zeile 2:
  
 
Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:
 
Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:
  Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"
+
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"
  
  
 
HSTS wird in der Regel immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS verwendet. Erstellen Sie dazu eine.htaccess-Datei mit folgendem Inhalt:
 
HSTS wird in der Regel immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS verwendet. Erstellen Sie dazu eine.htaccess-Datei mit folgendem Inhalt:
  
  RewriteEngine On
+
RewriteEngine On
  RewriteCond %{HTTPS} off
+
RewriteCond %{HTTPS} off
  RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
+
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
  Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"
+
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"
  
 
[[Kategorie:KonsoleH]]
 
[[Kategorie:KonsoleH]]
 
[[Kategorie:Webspace]]
 
[[Kategorie:Webspace]]

Version vom 16. August 2019, 11:21 Uhr

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen.

Um den HSTS-Header zu setzen, wird folgendes in der .htaccess Datei benötigt:

Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"


HSTS wird in der Regel immer zusammen mit einer Umleitung aller unverschlüsselten HTTP-Aufrufe auf HTTPS verwendet. Erstellen Sie dazu eine.htaccess-Datei mit folgendem Inhalt:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]
Header set Strict-Transport-Security: "max-age=31536000; includeSubDomains; preload"


© 2019. Hetzner Online GmbH. Alle Rechte vorbehalten.