“Strict-Transport-Security” / Aktivieren von HSTS

Ich erhalte in der Nextcloud die folgende Fehlermeldung.

Der “Strict-Transport-Security” HTTP-Header ist nicht auf mindestens “15552000” Sekunden eingestellt. Um die Sicherheit zu erhöhen, empfehlen wir das Aktivieren von HSTS

Sofern das Modul mod_headers aktiviert ist, wird in der Apache-Konfiguration im Container der Domain der STS-Header ergänzt:

<VirtualHost <ip>:443>
   ServerAdmin support@TLD.com
   ServerName www.TLD.com
   # HSTS einrichten -- erfordert mod_headers!
   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
   [...]
</VirtualHost>

Die Security Headers koennen hier getestet werden: https://securityheaders.io/ 335 

Integrationsprüfung abschalten

Owncloud hat wohl eine Integrationsprüfung für seine Dateien hinzugefügt (mit Version 9.0?). Da ich die util.php aufgrund von abweichenden Zugriffsrechten per Hand anpassen muss, erhalte ich in der Browseransicht die Fehlermeldung. Es funktioniert alles, aber der gelbe Balken stört.

Die Integritätsprüfung lässt sich durch einen Eintrag in der owncloud/config/config.php einfach abschalten.

'integrity.check.disabled' => true,

Anschließend auf der owncloud/index.php/settings/admin#security-warning die erneute Prüfung aktivieren.