Peter: Frage zum Wiki-Artikel „HTTPS und TLS“

problematische Seite

Hallo,

ich glaube, diese Code-Zeile...

Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains"

sollte besser ersetzt werden durch...

Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

*RFC 6797 [HTTP Strict Transport Security (HSTS)] Section 7.2. [HTTP Request Type]

An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.*

  1. problematische Seite

    Hallo Peter,

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

    Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

    Jain, da hast du recht. Gedacht (aber nicht geschrieben) hat der Autor vermutlich, dass man den Header im HTTPS-Vhost setzt und nicht global (beachte auch den Vorsicht!-Hinweis). Aber das sollte explizit dabei stehen, ja.

    Ich bin gerade unterwegs und kann das deshalb schlecht ändern; @Matthias Apsel? @Matthias Scharwies? Könnt ihr da etwas umformulieren?

    LG,
    CK

    1. problematische Seite

      Hallo Christian Kruse,

      Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

      Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

      Ich bin gerade unterwegs und kann das deshalb schlecht ändern; @Matthias Apsel? @Matthias Scharwies? Könnt ihr da etwas umformulieren?

      klar doch!

      Bis demnächst
      Matthias

      --
      Pantoffeltierchen haben keine Hobbys.
      1. problematische Seite

        Hallo Matthias,

        klar doch!

        Merci 😀

        LG,
        CK

  2. problematische Seite

    hallo

    Hallo,

    ich glaube, diese Code-Zeile...

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains"

    sollte besser ersetzt werden durch...

    Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

    Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

    *RFC 6797 [HTTP Strict Transport Security (HSTS)] Section 7.2. [HTTP Request Type]

    An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.*

    Ich finde die ganze Umleiterei gar nicht empfehlenswert. Sie ist nämlich nur ein Hack, der nichts gegen MITM-Angiffe leistet.

    Die korrekte Antwort wäre 410 gone!

    Ansonsten wird nämlich http bald das neue https!