Hallo Ubuntuusers,
ich experimentiere gerade mit einem Rechner bei mir zu Hause. Dort habe ich Apache2 installiert und den Webserver so konfiguriert, dass verschlüsselte Verbindungen via TLS möglich sind. Hat auch alles geklappt, leider funktioniert HTTP Strict Transport Security nicht. Wenn ich die Website manuell via HTTPS aufrufe funktioniert das, wenn ich aber dann HTTP verwende, wird nicht automatisch auf HTTPS „umgeleitet“. Ich finde im Internet leider keine Lösung dazu.
curl -I --insecure https://mein-rechner:
HTTP/1.1 200 OK Date: Sat, 22 Nov 2014 16:03:37 GMT Server: Apache/2.4.7 (Ubuntu) Strict-Transport-Security: max-age=15768000; includeSubDomains Last-Modified: Sat, 22 Nov 2014 15:15:10 GMT ETag: "2c12-50874070b29bd" Accept-Ranges: bytes Content-Length: 11282 Vary: Accept-Encoding Content-Type: text/html
/etc/apache2/sites-enabled/ssl.conf:
<VirtualHost *:443> SSLEngine on SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key # Crypto SSLProtocol All -SSLv2 -SSLv3 SSLCompression off SSLHonorCipherOrder On SSLCipherSuite EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains" # Pfad zu den Webinhalten DocumentRoot /var/www/html/ </VirtualHost>
Danke schonmal für eure Hilfe.
Freundliche Grüße
user32847