Nextcloud 11 – Strict-Transport-Security Header Fehler

Nach der Installation der Open-Source Cloudlösung, Nextcloud 11, kann folgender Fehler unter den Sicherheits- & Einrichtungswarnungen, angezeigt werden:

Nextcloud 11 HSTS Fehler

Nextcloud 11 HSTS Fehler

Der „Strict-Transport-Security“ HTTP-Header ist nicht auf mindestens „15768000“ Sekunden eingestellt. Um die Sicherheit zu erhöhen, empfehlen wir das Aktivieren von HSTS, wie es in den Sicherheitshinweisen erläutert ist.

(Ich habe mal das Wort „empfehlen“, korrigiert 🙂 )

Damit diese Meldung angezeigt wird ist der Aufruf der Weboberfläche mittels https notwendig. Ansonsten erscheint eine entsprechende Meldung in Bezug auf HTTPS:

Du greifst auf diese Site über HTTP zu. Wir raten dringend dazu, deinen Server so zu konfigurieren, dass er stattdessen nur HTTPS akzeptiert, wie es in unseren Sicherheitshinweisen beschrieben ist.

Nextcloud HSTS Einstellung

Die Lösung dafür ist, entweder selber oder über den Hoster, wie bei mir, den „Strict-Transport-Security“ Header entsprechend zu konfigurieren, bzw. konfigurieren lassen. Der dafür notwendige Eintrag in die vhost des Webservers, z.B. beim Apache Webserver, sieht wie folgt aus:

<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
</IfModule>

Damit dies funktioniert muss das entsprechende Modul im Apache geladen sein / werden:

# a2enmod headers
# service apache2 restart

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.