Apache - Konfiguration HTTP Strict Transport Security
For at konfigurere Apache webserver til at bruge HTTP Strict Transport Security (HSTS), kan følgende skridt udføres.
Aktivering HSTS headers
For at få Apache til at overføre HSTS headers, er vi nødt til at tilføje headers modulet til konfigurationen (/etc/apache2/httpd.conf):
LoadModule headers_module modules/mod_headers.so
Konfigurer headers per websted
Konfigurer header per websted der bruger SSL, konfigurationsfilen kan normalt findes i /etc/apache2/sites-enabled/.
For at konfigurere Strict-Transport-Security header med en levetid på 2 år, skal følgende linje tilføjes til konfiguration:
<VirtualHost *:443> ... Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" ... </VirtualHost>
Tilføjelse af includeSubDomains argumentet gør at browseren også vil oprette forbindelse til andre underdomæner på dette domæne. Fjernelse af denne indstilling gør, at kun den besøgte domæne altid er tilgængelig via HTTPS, men dette kan ikke anbefales.
Efter at genindlæse Apache konfiguration præsenteres denne header for alle besøgende med en levetid på 63072000 sekunder (2 år). Vær omhyggelig med kun at tilføje denne indstilling til HTTPS (: 443) vhost, og ikke i HTTP (: 80) versionen.
Har du brug for hjælp?
SSL Hjælp
Ring til os
+45 898 719 39
Send os en besked
SSLCheck
SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.
