Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung | ||
hsts [2013/06/28 08:31] – [Header-Syntax] bush | hsts [2013/06/28 09:38] (aktuell) – bush | ||
---|---|---|---|
Zeile 6: | Zeile 6: | ||
**Der HSTS-Schutz ist nur dann erforderlich, | **Der HSTS-Schutz ist nur dann erforderlich, | ||
+ | |||
+ | **Dieser Artikel richtet sich primär an Webserver-Administratoren. Am Ende der Seite werden aber auch für die Nutzer auf der Webclient-Seite einige Tipps für die grundsätzliche Verbesserung der Sicherheit bei Web-Verbindungen gegeben.** | ||
+ | |||
\\ | \\ | ||
Zeile 50: | Zeile 53: | ||
< | < | ||
- | Die Gültigkeitsdauer " | + | Die Gültigkeitsdauer " |
+ | Mit dem zusätzlichen Parameter " | ||
Ein Original-Header sieht dann z.B. so aus: | Ein Original-Header sieht dann z.B. so aus: | ||
Zeile 57: | Zeile 61: | ||
Date Fri, 28 Jun 2013 06:10:04 GMT | Date Fri, 28 Jun 2013 06:10:04 GMT | ||
Server | Server | ||
- | Strict-Transport-Security | + | Strict-Transport-Security |
Last-Modified | Last-Modified | ||
Keep-Alive | Keep-Alive | ||
Zeile 72: | Zeile 76: | ||
LoadModule headers_module modules/ | LoadModule headers_module modules/ | ||
2. Der Host muss in extra/ | 2. Der Host muss in extra/ | ||
- | Header always set Strict-Transport-Security " | + | < |
+ | < | ||
+ | # SSL Engine Switch: | ||
+ | # | ||
+ | SSLEngine on | ||
+ | |||
+ | # HSTS Headerfür 366 Tage incl. Subdomains | ||
+ | Header always set Strict-Transport-Security " | ||
+ | |||
+ | ... | ||
+ | |||
+ | </ | ||
+ | </ | ||
\\ | \\ | ||
+ | ===== Geht's noch sicherer? ===== | ||
+ | |||
+ | Antwort: Auf jeden Fall! | ||
+ | |||
+ | Das vorliegende Verfahren HSTS (darauf wurde oben schon hingewiesen) ist ja darauf angelegt, beim Aufruf einer Webseite dem Webclient mitzuteilen, | ||
+ | |||
+ | Damit ist sofort klar, dass der erste (unsichere!) Verbindungsaufbau von einem Man-in-the-Middle (MitM) abgefangen werden kann. In diesem Fall ist HSTS machtlos, denn der MitM wird die HSTS-Anweisung **garantiert nicht** an den Webclient weiterreichen. | ||
+ | |||
+ | Deshalb hier einige Tipps für die Nutzer: | ||
+ | * Achten Sie darauf, dass Sie sensible Verbindungen - dazu gehören grundsätzlich solche, bei denen ein Login erforderlich ist - von vornherein mit HTTPS aufrufen. | ||
+ | * Achten Sie auf das Vorhängeschloss im Adressfeld. Es signalisiert eine verschlüsselte Verbindung. | ||
+ | * Verwenden Sie im sensiblen Umfeld Browser, die HSTS unterstützen. Das Whitepaper in den Quellenangaben [1] am Ende der Seite enthält eine Liste der HSTS-fähigen Browser. | ||
+ | * Nutzen Sie - falls möglich - Browser-AddOns, | ||
+ | |||
+ | \\ | ||
+ | ===== Das Firefox-AddOn " | ||
+ | |||
+ | Das Firefox-AddOn " | ||
+ | |||
+ | Die zum vorliegenden Thema passende Konfigurationsseite sieht so aus: | ||
+ | |||
+ | {{: | ||
+ | |||
+ | |||
+ | Die Herstellerseite: | ||
+ | |||
+ | |||
+ | Diese Software ist sogar eine Spende wert! | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | \\ | ||
+ | |||
===== Quellen ===== | ===== Quellen ===== | ||
- | https:// | + | Zu empfehlen:\\ |
- | http:// | + | [1] http:// |
- | http:// | + | [2] http:// |
- | http:// | + | [3] http:// |
- | https:// | + | [4] https:// |
+ | [5] https:// | ||