“Strict-Transport-Security” / Aktivieren von HSTS
Ich erhalte in der Nextcloud die folgende Fehlermeldung.
Der “Strict-Transport-Security” HTTP-Header ist nicht auf mindestens “15552000” Sekunden eingestellt. Um die Sicherheit zu erhöhen, empfehlen wir das Aktivieren von HSTS
Sofern das Modul mod_headers aktiviert ist, wird in der Apache-Konfiguration im Container der Domain der STS-Header ergänzt:
<VirtualHost <ip>:443>
ServerAdmin support@TLD.com
ServerName www.TLD.com
# HSTS einrichten -- erfordert mod_headers!
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
[...]
</VirtualHost>
Die Security Headers koennen hier getestet werden: https://securityheaders.io/ 335