hallo
Hallo,
ich glaube, diese Code-Zeile...
Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains"
sollte besser ersetzt werden durch...
Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"
Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.
*RFC 6797 [HTTP Strict Transport Security (HSTS)] Section 7.2. [HTTP Request Type]
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.*
Ich finde die ganze Umleiterei gar nicht empfehlenswert. Sie ist nämlich nur ein Hack, der nichts gegen MITM-Angiffe leistet.
Die korrekte Antwort wäre 410 gone!
Ansonsten wird nämlich http bald das neue https!