Ist das Zertifikat für die Homepage bei all-inkl.com erst einmal eingerichtet (siehe auch ), dann sollte früher oder Später auch ein Test der SSL-Konfiguration bei SSL Labs erfolgen. Dabei zeigt sich, dass All-inkl.com bei der Grundinstallation schon gute Arbeit geleistet hat und man bereits mit den Standardeinstellungen ein A-Rating erhält. Das ist zwar nicht schlecht, aber der Test zeigt, dass die HTTP-Strict-Transport-Security nicht deaktiviert ist.

Bei Aktivierter HTTP-Strict-Transport-Security (HSTS) sendet der Web-Server einen HTTP-Header mit, der dem Browser signalisiert, dass er innerhalb der im Header angegebenen Frist die Web-Seite ausschließlich per HTTPS aufrufen soll. Dies führt dazu, dass der Browser innerhalb der angegebenen Frist automatisch auf HTTPS wechselt, auch wenn der Benutzer explizit versucht unverschlüsselt auf die Seite zuzugreifen. Dieser Header sollte also insbesondere für Seiten gesetzt werden, die ausschließlich per HTTPS abgerufen werden sollen.

Achtung: Wenn der Header gesetzt wird, so ist unbedingt darauf zu achten, dass die Seite in Zukunft immer per HTTPS erreichbar ist, da ansonsten alle User, die schon mal einen HSTS-Header empfangen haben für lange Zeit nicht mehr auf die Seite zugreifen können. Vor allem sollten dann nur noch gültige Zertifikate verwendet werden, da einige Browser für Seiten mit gesetzten HSTS-Headern das wegklicken der SSL/TLS-Fehlermeldungen nicht mehr zulassen.

Der fehlende HSTS-Header macht sich zum Beispiel auch bei der ownCloud installation bemerkbar: Ist er nicht gesetzt, so wird auf der Administrationsseite die Warnung “Der „Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens „15768000“ Sekunden eingestellt. Für umfassende Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in unseren Sicherheitshinweisen erläutert ist.” (siehe auch Abbildung)

ownCloud HSTS-Warnung

Soll der Header gesetzt werden, so kann dies durch den folgenden Eintrag in der Datei .htaccess erfolgen:

Dabei gibt der Parameter max-age an, wie lange der HSTS-Eintrag gültig sein soll (in Sekunden)

Da meine ownCloud-Installation in einem eigenen Untervezeichnis des KAS-Accounts liegt, habe ich den oben genannten Eintrag in der Datei /www/htdocs/w0123456 /owncloud/.htaccess  vorgenommen. Leider ohne Erfolg.

Damit der HSTS-Header auch tatsächlich korrekt gesetzt wird, muss der Eintrag zwingend im Hauptverzeichnis des jeweiligen KAS-Accounts vorgenommen werden – im obigen Beispiel also in der Datei /www/htdocs/w0123456 /.htaccess . Ansonsten wird der Header zumindest bei mir nicht korrekt gesetzt.

Nachdem der Eintrag in der richtigen Datei hinzugefügt wurde, wird es einem bei SSL Labs mit einem A+-Rating gedankt. Und auch die ownCloud-Warnung verschwindet anschließend aus der Administrations-Web-Seite.

Achtung: Wird der Eintrag in der Datei /www/htdocs/w0123456 /.htaccess  vorgenommen, so ist zu berücksichtigen, dass der Eintrag auch für alle Unterverzeichnisse gilt. Werden also beispielsweise unterschiedliche Subdomains in jeweils getrennten Unterverzeichnissen in /www/htdocs/w0123456  abgelegt, so wird der Header automatisch für alle Sub-Domainen gesetzt. Damit muss dann aber auch zwingend das SSL/TLS für alle Sub-Domänen korrekt aufgesetzt werden, damit diese dann noch erreichbar sind.

SSL Labs: A+