HTTP Strict Transport Security (HSTS) einrichten

Sie können HTTP Strict Transport Security (HSTS) in den Antwortheadern festlegen, damit Ihr Server die Clients darüber benachrichtigen kann, dass er nur HTTPS-Anforderungen akzeptiert. Alle Nicht-HTTPS-Anforderungen können an SSL-fähige virtuelle Hosts weitergeleitet werden.

Vorbereitende Schritte

  • Legen Sie fest, ob Ihre HSTS-Richtlinie nur für die Domäne gelten soll oder ob die Unterdomänen einbezogen werden sollen.
  • Legen Sie fest, ob die Domäne in einer vorinstallierten Liste bekannter HSTS-Hosts in einem Client enthalten sein kann.
  • Legen Sie fest, wie lange der Client die Informationen zwischenspeichern kann, mit denen angegeben wird, dass die Domäne ein HSTS-Host ist.

Vorgehensweise

  1. Die Änderung der Antwortheader ermöglichen.
    Entfernen Sie die Kommentarzeichen vor der folgenden "Load Module"-Anweisung für das Modul "mod_headers" in der Datei httpd.conf:
    LoadModule headers_module modules/mod_headers.so
  2. Die HSTS-Richtlinie für die Clients definieren.

    Aktualisieren Sie die Datei httpd.conf wie folgt:

    1. DieAnweisung "Header" codieren.
      Die folgende "Header"-Beispielanweisung legt nützliche Optionen zur Definition einer HSTS-Richtlinie fest. Die Anweisung legt fest, dass der Server immer HTTPS-Verbindungen erfordert. Die HTTPS-Verbindungen gelten sowohl für die Domäne als auch alle Unterdomänen. Ein Client kann die Domäne für maximal ein Jahr (31536000 Sekunden) in seiner vorinstallierten Liste von HSTS-Domänen beibehalten.
      Header always set Strict-Transport-Security "max-age=31536000;
            includeSubDomains; preload"
    2. Die "Header"-Anweisung jedem Abschnitt für SSL-fähige (Secure Sockets Layer) virtuelle Hosts, <virtualhost>, hinzufügen.
  3. Anforderungen von Nicht-SSL-fähigen virtuellen Hosts an SSL-fähige virtuelle Hosts weiterleiten:
    RewriteEngine on 
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
    • Fügen Sie die Zeilengruppe zu jedem Abschnitt für virtuelle Hosts in der Datei httpd.conf hinzu.
    • Fügen Sie die Zeilengruppe einmal außerhalb der Abschnitte für virtuelle Hosts in der globalen Datei httpd.conf hinzu.

Ergebnisse

IBM® HTTP Server ist so eingerichtet, dass die Clients angewiesen werden, nur über HTTPS eine Verbindung zu den angegebenen Domänen und Unterdomänen herzustellen. Um sicherzustellen, dass Ihr IBM HTTP Server keine Nicht-HTTPS-Anforderungen über Nicht-SSL-fähige virtuelle Hosts verarbeitet, wurde der Server so eingerichtet, dass er diese Anforderungen an SSL-fähige virtuelle Hosts weiterleitet.

Nächste Schritte

Nehmen Sie Ihren Server als Front-End in Ihre Anwendungsserverumgebung auf, so dass die Verbindungen zwischen Anwendungsserver und einem Client über HTTPS aufgebaut werden.

Symbol, das den Typ des Artikels anzeigt. Taskartikel



Symbol für Zeitmarke Letzte Aktualisierung: 25.05.2016
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_hsts
Dateiname:tihs_hsts.html