Das Passwörter und Dokumente heutzutage im Web nicht unverschlüsselt übertragen werden sollten, muss jedem eigentlich klar sein. Mit HSTS (HTTP Strict Transport Security) teilt der Webserver dem Browser mit, das für einen bestimmten Zeitraum eine Webseite ausschließlich verschlüsselt übertragen werden soll. Die Konfiguration ist relativ einfach. Als erstes aktiviert man das Modul „headers“ in der Apache2 Konfiguration.
a2enmod headers
Als zweites muss im Virtuellen Host (für die verschlüsselte Webseite) der zusätzlich gesendete Header konfiguriert werden.
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
</IfModule>
Der Parameter „max-age=15768000“ definiert den Zeitraum in dem die Webseite nur über „https“ besucht werden soll. Hier sind es 182,5 Tage. Wer möchte kann noch eine Weiterleitung dafür einrichten, falls noch jemand per „http“ darauf zugreifen möchte.
<VirtualHost *:80> ServerName cloud.zuhause.lan Redirect permanent / https://cloud.zuhause.lan/ </VirtualHost>
Owncloud quitiert diese Bemühungen mit eine „All checks passed.“
Links: