Was ist HSTS
Bei HSTS ( HTTP Strict Transport Security) handelt es sich um einen Sicherheitsmechanismus um HTTPS Verbindungen gegen Man-in-the-Middle Angriffe und Session Hijacking abzusichern.
Der Browser kann dem Webserver, durch einen HTTP-Header, mitteilen, dass für eine gewisse Zeit nur noch HTTPS Verbindungen angenommen werden.
Vorbereitungen Apache
Die beiden Befehle auf eurem Webserver absetzen. Auf ausreichende Berechtigungen achten.
a2enmod header
systemctl restart apache2ISPConfig Apache Direktiven
In ISPConfig kann der Header einfach unter Webseite – > Optionen und Apache Direktiven hinzugefügt werden.
HeaderHeader always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Das würde dann so aussehen:
Klappt natürlich, ist aber ein bisschen Umständlich falls Ihr die Option für mehre Webseiten hinzufügen wollt.
Snippet / Schnipsel hinzufügen
Wir wollen uns das Leben einfacher machen und nicht noch schwerer. Darum gibt es in ISPConfig die Option “Code”-Schnipsel hinzuzufügen.
Ihr findet die Option unter System -> Direktiven Schnipsel
- Klickt auf den Button Direktiven Schnipsel hinzufügen
- Wählt als Typ Apache aus und fügt als Schnipsel die Header Zeile ein
Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" - Entscheidet ob der Kunde die Zeilen sehen soll und klickt auf speichern.
Mit einem Klick könnt Ihr die Zeile nun bei allen Webseite einfügen
Der Header
Jetzt wollen einige bestimmt noch wissen was der Header anstellt und wie er aufgebaut ist; Bitteschön
Header – Gibt an das es sich um einen Header handelt
always add Strict-Transport-Security – Aktiviert HSTS
"max-age=15768000; – Zeit in Sekunden wie lange HSTS aktiv ist
includeSubDomains; – Subdomains sind auch von der Regel betroffen
preload" – Tragt eure Webseite in eine Preloadliste ein um euch auch beim ersten Besuch zu schützen