Menü Schließen

Nextcloud 11 – Strict-Transport-Security Header Fehler

Nextcloud Logo

Nach der Installation der Open-Source Cloudlösung, Nextcloud 11, kann folgender Fehler unter den Sicherheits- & Einrichtungswarnungen, angezeigt werden:

Nextcloud 11 HSTS Fehler
Nextcloud 11 HSTS Fehler

Der „Strict-Transport-Security“ HTTP-Header ist nicht auf mindestens „15768000“ Sekunden eingestellt. Um die Sicherheit zu erhöhen, empfehlen wir das Aktivieren von HSTS, wie es in den Sicherheitshinweisen erläutert ist.

(Ich habe mal das Wort „empfehlen“, korrigiert 🙂 )

Damit diese Meldung angezeigt wird ist der Aufruf der Weboberfläche mittels https notwendig. Ansonsten erscheint eine entsprechende Meldung in Bezug auf HTTPS:

Du greifst auf diese Site über HTTP zu. Wir raten dringend dazu, deinen Server so zu konfigurieren, dass er stattdessen nur HTTPS akzeptiert, wie es in unseren Sicherheitshinweisen beschrieben ist.

Nextcloud HSTS Einstellung

Die Lösung dafür ist, entweder selber oder über den Hoster, wie bei mir, den „Strict-Transport-Security“ Header entsprechend zu konfigurieren, bzw. konfigurieren lassen. Der dafür notwendige Eintrag in die vhost des Webservers, z.B. beim Apache Webserver, sieht wie folgt aus:

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
</IfModule>

Damit dies funktioniert muss das entsprechende Modul im Apache geladen sein / werden:

# a2enmod headers
# service apache2 restart

2 Kommentare

  1. Christian

    Hallo Jarvis

    Ich habe die Einträge nun wie folgt eingetragen
    Pfad
    /etc/nginx/plesk.conf.d/vhosts/MeineDomain.tdl.conf
    Dort habe ich den Eintrag vorgenommen und gespeichert. Dannach den Apache und sicherheitshalber auch gleich den NGINX neugestartet. Verändert hat sich leider nichts. Was habe ich falsch gemacht?

    Per Putty habe ich ebenfalls noch
    # a2enmod headers
    # service apache2 restart
    ausgeführt! Jedoch war Header bereits aktiviert.

    • JARVIS

      Hi Christian,
      wenn ich das richtig verstehe, dann nutzt du auch Nginx. Ich habe den Webproxy bisher nirgends im Einsatz, würde aber mal darauf tippen, dass du die Eisntellung bzgl. HSTS dort konfigurieren musst. Das würde für deine Subdomain dann wohl wie folgt aussehen: „Strict-Transport-Security: max-age=31536000; includeSubDomains“ – mehr Infos in den Docs von Nginx ->https://www.nginx.com/blog/http-strict-transport-security-hsts-and-nginx/

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert