Apache - HTTP Strict Transport Security instellen

Volg onderstaande stappen om de Apache webserver in te stellen voor HTTP Strict Transport Security (HSTS).

Activeren headers

Voeg onderstaande regel toe aan het configuratiebestand (/etc/apache2/httpd.conf) om de HTTP header functie te activeren:

LoadModule headers_module modules/mod_headers.so

Configureren headers per website

Stel per header de website in, het configuratie bestand staat bij een standaard configuratie in de directory /etc/apache2/sites-enabled/.

Om op deze website de header voor Strict-Transport-Security in te stellen op een tijdsduur van 2 jaar, moet onderstaande regel aan de HTTPS vhost configuratie worden toegevoegd:

<VirtualHost *:443> Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" </VirtualHost>

De toevoeging van de includeSubDomains optie zorgt er voor dat de browser nu voor alle subdomeinen van de website ook via HTTPS verbindt. Het weglaten van deze optie voorkomt dat, maar is niet aan te raden.

Na het opnieuw laden van de Apache configuratie wordt voor elke bezoeker de header ingesteld op een verlooptijd van 63072000 (2 jaar). Let op dat deze configuratieregel alleen in de HTTPS (:443) website configuratie kan worden opgenomen en niet in de HTTP (:80) versie.

Voor het gebruiken van HSTS heb je een SSL certificaat nodig.

Certificaat aanvragen

point up