HSTS verhindert es die Verbindugsverschlüsselung auszuhebeln und soll vor Session Hijacking schützen. Es kann also nicht schaden dieses am Apache zu aktivieren. Dazu muss nur die ssl.conf bzw. httpd.conf oder eure eigene host.conf angepasst werden. Generell stehe ich momentan auf dem Standpunkt alles zu verschlüsseln was zu verschlüsseln geht. Wen jemand meint er müsste Traffic mitschneiden, dann soll er davon so wenig sehen wie möglich. Gerade in der jetzigen Zeit muss ich nicht alles von mir preisgeben. Wenn es um Security geht bin ich mittlerweile mehr als sensibilisiert, daher versuche ich es potentielle Angriffsvektoren so gering wie möglich zu halten, bzw. den Aufwand für den Angreifer zu erhöhen.
vi /etc/httpd/conf.d/ssl.conf
Innerhalb des Abschnitts VirtualHost fügt ihr folgende rot markierte Zeile hinzu.
<VirtualHost>Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"</VirtualHost>
In der httpd.conf muss das Headers Modul akitv sein, welches aber per Default schon aktiv sein sollte.
LoadModule headers_module modules/mod_headers.so
Testen der HSTS Konfiguration
Anschließend wird der Apache neu gestartet und ihr könnt die Verbindung testen.
service httpd restart
Wie ihr seht, ist HSTS aktiv und meine Seite bekommt sogar ein A+ \o/ was will der Admin mehr?
