Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
hsts [2013/06/28 08:31] – [Header-Syntax] bushhsts [2013/06/28 08:43] – [Quellen] bush
Zeile 50: Zeile 50:
 <code>strict-transport-security max-age=xxx;includeSubDomains</code> <code>strict-transport-security max-age=xxx;includeSubDomains</code>
  
-Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.+Die Gültigkeitsdauer "max-age" sollte sehr groß gewählt werden, möglichst ein Jahr (31536000) oder länger.\\ 
 +Mit dem zusätzlichen Parameter "includeSubDomains" schließt man auch alle Subdomains mit ein.
  
 Ein Original-Header sieht dann z.B. so aus: Ein Original-Header sieht dann z.B. so aus:
Zeile 57: Zeile 58:
 Date                       Fri, 28 Jun 2013 06:10:04 GMT Date                       Fri, 28 Jun 2013 06:10:04 GMT
 Server                     Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23 Server                     Apache/2.2.22 (Win32) mod_ssl/2.2.22 OpenSSL/0.9.8t mod_jk/1.2.23
-Strict-Transport-Security  max-age=31622400+Strict-Transport-Security  max-age=31622400;includeSubDomains
 Last-Modified              Thu, 01 Jan 1970 00:00:00 GMT Last-Modified              Thu, 01 Jan 1970 00:00:00 GMT
 Keep-Alive                 timeout=5, max=100 Keep-Alive                 timeout=5, max=100
Zeile 72: Zeile 73:
   LoadModule headers_module modules/mod_headers.so   LoadModule headers_module modules/mod_headers.so
 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten: 2. Der Host muss in extra/httpd-ssl.conf die Header-Anweisung erhalten:
-  Header always set Strict-Transport-Security "max-age=31536000;includeSubdomains"+<code> 
 +<VirtualHost _default_:443>
  
 +#   SSL Engine Switch:
 +#   Enable/Disable SSL for this virtual host.
 +SSLEngine on
 +
 +# HSTS Headerfür 366 Tage incl. Subdomains
 +Header always set Strict-Transport-Security "max-age=31622400;includeSubDomains"
 +
 +...
 +
 +</VirtualHost>                                  
 +</code>
  
 \\ \\
 ===== Quellen ===== ===== Quellen =====
  
-https://www.zendas.de/themen/server/hsts_header.html\\ +Zu empfehlen:\\ 
-http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\+http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Whitepaper.pdf\\ \\
 http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\ http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/\\
 http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\ http://www.securenet.de/fileadmin/papers/HTTP_Strict_Transport_Security_HSTS_Verbreitung.pdf\\
 https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\ https://www.owasp.org/index.php/HTTP_Strict_Transport_Security\\
 +https://www.zendas.de/themen/server/hsts_header.html\\
  
  

Zuletzt angesehen:

QR-Code
QR-Code HTTP Strict Transport Security (HSTS) (erstellt für aktuelle Seite)