JARVIS
Nach der Installation der Open-Source Cloudlösung, Nextcloud 11, kann folgender Fehler unter den Sicherheits- & Einrichtungswarnungen, angezeigt werden:
Der “Strict-Transport-Security” HTTP-Header ist nicht auf mindestens “15768000” Sekunden eingestellt. Um die Sicherheit zu erhöhen, empfehlen wir das Aktivieren von HSTS, wie es in den Sicherheitshinweisen erläutert ist.
(Ich habe mal das Wort “empfehlen”, korrigiert 🙂 )
Damit diese Meldung angezeigt wird ist der Aufruf der Weboberfläche mittels https notwendig. Ansonsten erscheint eine entsprechende Meldung in Bezug auf HTTPS:
Du greifst auf diese Site über HTTP zu. Wir raten dringend dazu, deinen Server so zu konfigurieren, dass er stattdessen nur HTTPS akzeptiert, wie es in unseren Sicherheitshinweisen beschrieben ist.
Nextcloud HSTS Einstellung
Die Lösung dafür ist, entweder selber oder über den Hoster, wie bei mir, den “Strict-Transport-Security” Header entsprechend zu konfigurieren, bzw. konfigurieren lassen. Der dafür notwendige Eintrag in die vhost des Webservers, z.B. beim Apache Webserver, sieht wie folgt aus:
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
</IfModule>
Damit dies funktioniert muss das entsprechende Modul im Apache geladen sein / werden:
# a2enmod headers
# service apache2 restart
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.
Hallo Jarvis
Ich habe die Einträge nun wie folgt eingetragen
Pfad
/etc/nginx/plesk.conf.d/vhosts/MeineDomain.tdl.conf
Dort habe ich den Eintrag vorgenommen und gespeichert. Dannach den Apache und sicherheitshalber auch gleich den NGINX neugestartet. Verändert hat sich leider nichts. Was habe ich falsch gemacht?
Per Putty habe ich ebenfalls noch
# a2enmod headers
# service apache2 restart
ausgeführt! Jedoch war Header bereits aktiviert.
Hi Christian,
wenn ich das richtig verstehe, dann nutzt du auch Nginx. Ich habe den Webproxy bisher nirgends im Einsatz, würde aber mal darauf tippen, dass du die Eisntellung bzgl. HSTS dort konfigurieren musst. Das würde für deine Subdomain dann wohl wie folgt aussehen: “Strict-Transport-Security: max-age=31536000; includeSubDomains” – mehr Infos in den Docs von Nginx ->https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/