Nginx - HTTP Strict Transport Security instellen

Volg onderstaande stappen om de Nginx webserver in te stellen voor HTTP Strict Transport Security (HSTS).

Per website moet de header ingesteld worden, het configuratie bestand staat meestal in /etc/nginx/sites-available/.

server {

listen 443 ssl default deferred;

...

# config to enable HSTS(HTTP Strict Transport Security)

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains;";

...

}

De toevoeging van de includeSubDomains optie zorgt er voor dat de browser nu voor alle subdomeinen van de website ook via HTTPS wil verbinden. Het weglaten van deze optie voorkomt dat, maar is niet aan te raden.

Nu zal na het opnieuw laden van de Nginx configuratie voor elke bezoeker de header worden ingesteld met een verlooptijd van 63072000 (2 jaar). Let op dat deze configuratieregel alleen in de HTTPS (:443) website configuratie kan worden opgenomen, en niet in de HTTP (:80) versie.