Apache - Konfiguration HTTP Strict Transport Security

For at konfigurere Apache webserver til at bruge HTTP Strict Transport Security (HSTS), kan følgende skridt udføres.

Aktivering HSTS headers

For at få Apache til at overføre HSTS headers, er vi nødt til at tilføje headers modulet til konfigurationen (/etc/apache2/httpd.conf):

LoadModule headers_module modules/mod_headers.so

Konfigurer headers per websted

Konfigurer header per websted der bruger SSL, konfigurationsfilen kan normalt findes i /etc/apache2/sites-enabled/.

For at konfigurere Strict-Transport-Security header med en levetid på 2 år, skal følgende linje tilføjes til konfiguration:

<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>

Tilføjelse af includeSubDomains argumentet gør at browseren også vil oprette forbindelse til andre underdomæner på dette domæne. Fjernelse af denne indstilling gør, at kun den besøgte domæne altid er tilgængelig via HTTPS, men dette kan ikke anbefales.

Efter at genindlæse Apache konfiguration præsenteres denne header for alle besøgende med en levetid på 63072000 sekunder (2 år). Vær omhyggelig med kun at tilføje denne indstilling til HTTPS (: 443) vhost, og ikke i HTTP (: 80) versionen.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.