Hallo Rolf

Ingo, ist in der index.php etwas drin, dass die vorhandenen Header löscht? Oder setzt Du ihn mittlerweile überall manuell, nur in der Index-Seite nicht?

Ja, ich hatte ihn zum Testen überall per PHP eingefügt, nur in der Index-Seite nicht. Damit hatte ich hier wohl leider Verwirrung gestiftet. Dafür bitte ich erstmal um Entschuldigung.

Ich habe das jetzt soeben korrigiert. Jetzt habe ich den Code NUR noch in der .htaccess-Datei. Dort steht jetzt also ganz am Anfang folgendes:

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS

Leider sagt der Test unter https://securityheaders.com/ jetzt, dass HSTS nicht aktiv ist.

Ich hatte ja auf verschiedenen Webseiten immer wieder gelesen, dass man auf statischen Seiten den Header per .htaccess-Datei und auf php-Seiten per PHP setzen muss/soll. Aber da habt Ihr mir ja hier gesagt, dass das nicht richtig ist. Demnach müsste es doch auf meinen php-Seiten auch so funktionieren, wie ich es jetzt gemacht habe.

Ich habe diesbezüglich heute auch eine E-Mail an meinen Hostingprovider Inos (ehemals 1&1) gesendet. Und die haben mir das so geschrieben:

Eintrag in der .htaccess bei statischer Seite: Header always set Strict-Transport-Security "max-age=31536000"

Header-Eintrag am Anfang des PHP-Skripts bei dynamischer Seite: <?php header("strict-transport-security: max-age=63072000; includeSubDomains; preload");?>

Kann es evtl. sein, dass das irgendwie eine spezielle Sache des Providers ist. Also, dass die das setzen des Headers per .htaccess nicht zulassen?

Gruß Ingo