Apache - Konfigurieren von HTTP Strict Transport Security

Um den Apache Webserver für die Verwendung von HTTP Strict Transport Security (HSTS) zu konfigurieren, kannst Du folgende Schritte durchgeführen.

HSTS-Header aktivieren

Damit Apache die HSTS-Header sendet, müssen wir das Header-Modul zur Konfiguration hinzufügen (/etc/apache2/httpd.conf): LoadModule headers_module modules/mod_headers.so

Header pro Website konfigurieren

Konfiguriere die Header-Einstellungen pro Website die SSL verwendet, die Konfigurationsdatei befindet sich normalerweise in /etc/apache2/sites-enabled/.

Um die Strict-Transport-Security-Header-Einstellungen für eine Zeitspanne von 2 Jahren zu konfigurieren, sollte die folgende Zeile der Konfiguration hinzugefügt werden:

<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>

Durch das Hinzufügen des includeSubDomains-Arguments wird der Browser auch mit anderen Subdomains auf dieser Domain verbunden. Wenn Sie diese Option entfernen, ist nur die besuchte Domain immer über HTTPS zugänglich, was wir nicht empfehlen.

Nach dem neu-laden der Apache-Konfiguration wird dieser Header jedem Besucher mit einer Ablaufzeit von 63072000 Sekunden (2 Jahre) präsentiert. Achte darauf diese Konfigurationsoption nur dem HTTPS (: 443) vhost und nicht in der HTTP (: 80) Version hinzuzufügen.

SSLCheck

SSLCheck überprüft, ob Ihr Zertifikat ordnungsgemäß auf Ihrem Server installiert ist und ob es potenzielle Probleme gibt.