HSTS Fehlermeldung in Nginx beheben

Hallo Liebes Forum,

ich verwende OMV als NAS-System als Docker Anwendung verwende ich Docker.io dort läuft aktuell Nextcloud und Nginx Proxy Manager um Nextcloud über meine Domain (STRATO DynDNS) über https verfügbar zu machen. Das funktioniert alles auch soweit 1A allerdings mit Let’s Encrypt. Allerdings bekomme ich folgenden Fehler:

Einige Header sind in deiner Instanz nicht richtig eingestellt - Der Strict-Transport-Security-HTTP-Header ist nicht gesetzt (er sollte mindestens 15552000 Sekunden betragen). Für erhöhte Sicherheit wird empfohlen, HSTS zu aktivieren

Allerdings habe ich im Nginx Proxy Manager HSTS an, ich bin etwas ratlos und bin über jede Hilfe dankbar.

Die meisten Anleitungen die ich finden kann sind alle für Apache aber ich nutze Nginx Proxy Manager. Wenn jemand eine idde hat wie ich HSTS aktivieren kann für Nextcloud wäre ich sehr dankbar.

Das ist mein erster beitrag hier und das Tehma Docker Nextcloud und co. ist ziemlich neu für mich

gm,uzv,uzh1591×789 76.6 KB

Ich kenne mich selbst wenig mit nginx aus, aber hast Du schon mal folgendes ausprobiert:

curl -I https://example.com

Da kannst Du sehen, was in den Headern steht.

Ich kenne mich leider nicht aus mit dem Docker setup, aber ich vermute mal es nutzt als Proxy NGINX und als Nextcloud Server Apache2?

Jedenfalls für ein NGINX Proxy vor einem Apache2 Server Setup, musste ich dies nicht nur in NGINX setzten, sondern auch auf dem Apache. Bin mir nicht 100% sicher ob es wirklich nötig ist oder der Nextcloud Scanner dies sonst einfach nicht erkennen kann. Jedenfalls schadet es nicht dies auch noch bei Apache zu setzten.
Darum vermute ich mal, bei dir fehlt im nextcloud.conf Apache file dieser Eintrag

    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
    </IfModule>

Quelle: Kopiert aus meinem Tutorial ohne die Preload Funktion.

Also nachdem ich etliche Stunden sinnlos alles durchgespielt habe. Habe ich einen bekannten von mir gefragt der sowas auch beruflich macht und hat mir Proxmox ans Hertz gelegt, ich habe dort in 2 LXC-Container einmal Nginx Proxy Manager und Nextcloud installiert, was auf Anhieb wirklich 1A lief und viele der Fehlermeldungen sich schon von selbst erledigt haben. (Zusätzlich noch die Ports in der OPNsense freigegeben
für den Nginx Proxy Manager)
und mit den Proxmox VE Helpher-Scripts ist das echt eine absolut geile und Kindereinfache Sache.

Das sind die übrigen Fehlermeldungen:

bnk.ghjk.1507×419 18.1 KB

ich muss nurnoch herausfinden was mit den protokollen ist.

sdgsdfgsda1535×862 96.9 KB

Da aber ansonsten alles mit Proxmox auf anhib 1A funktioniert hat verbleibe ich dabei

die 6 “Warnungen” sind keine “Fehler” … die bekommst du wohl weg, wenn du das Loglevel deiner Instanz entsprechend anpasst.

Darüber hinaus: Willkommen im Forum!

du kannst die HSTS Subdomains deaktivieren

Sind jetzt übrigens über 4000 Warnungen weil das antivirenprogramm ClamAV von Nextcloud übel an ausrasten ist…

Screenshot_20241203-1507081008×1787 218 KB

Ich habe das lösen können indem ich als grundbasis proxmox benutze und dort einfach Nextcloud all in one in einer VM laufen lasse… Läuft 1a bis auf die fast 5000 fehlermeldungen wegen dem antivirenprogramm

Next Cloud scheint aber generell ein Problem mit dem Datum zu haben dass nie stimmt obwohl die timezone richtig eingestellt ist

da bräuchten wir wohl ein paar detaillierte Fehlermeldungen aus dem Log

Das sind Solche fehlermeldungen und davon über 4000

rdtjdrtzj982×1006 40.7 KB

Sieht so aus als Kann der Antivirus nicht aus meine Daten zugreifen. Ich schau mal ob ich den dazu bringen kann den den SMB Ordner zu Ignorieren

Die Fehler verschwinden nicht sie werden nur ausgeblendet

der hat exakt die Probleme mit deinem SMB-Laufwerk

Fehler sind Fehler und Warnungen sind Warnungen. Warnungen kannst du im Prinzip vernachlässigen.
Fehler haben ein anderes Kaliber

Ich habe das einfach mal Deaktiviert, mal sehen ob es etwas bewirkt

6zukzuk514×990 46.6 KB

Hallo zusammen,

erst mal ein gutes Neues Jahr - und etwas Zeit die Server alle mal wieder up to date zu bringen.
Dabei bin ich auf das selbe Problem gestroßen.

Vielen Dank für den Post, ich würde mich da mal dran hängen…
Ich habe genau das selbe Problem in der selben Konfiguration. (Nginx-Proxy und Apache als NC 30.0.4)

Ich habe versucht, alle Hinweise zu befolgen.
Der curl liefert aus meiner Sicht ein korrektes Ergebnis, trotzdem wird der Fehler bemängelt (Url verändert):

HTTP/2 302
server: openresty
date: Thu, 02 Jan 2025 19:47:48 GMT
content-type: text/html; charset=UTF-8
location: https://cloud.xyz.de/index.php/login
content-security-policy: default-src ‘self’; script-src ‘self’ ‘nonce-b4Eeto6dMswp8uFuxQtpZmmKnR/ovv6wDi8j9hBFopw=’; style-src ‘self’ ‘unsafe-inline’; frame-src *; img-src * data: blob:; font-src ‘self’ data:; media-src *; connect-src *; object-src ‘none’; base-uri ‘self’;
set-cookie: oc_sessionPassphrase=Pn3Gcjsbhde3WWQeptPgI1tvN4RTWayUfyTDpKMBIXzLTy%2BX4UM5MBC4IxV8N9lDNtP0%2FzUu%2FihkZhn4%2F1CCKQuwqjukpMjAcNCr8BBYNSL0qe96oBend0jS5EPBOrGj; path=/; secure; HttpOnly; SameSite=Lax
set-cookie: __Host-nc_sameSiteCookielax=true; path=/; httponly; secure; expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=lax
set-cookie: __Host-nc_sameSiteCookiestrict=true; path=/; httponly; secure; expires=Fri, 31-Dec-2100 23:59:59 GMT; SameSite=strict
set-cookie: oc1cz5qr7kll=mr43b3amuejoch25dp6l99qemg; path=/; secure; HttpOnly; SameSite=Lax
referrer-policy: no-referrer
x-content-type-options: nosniff
x-frame-options: SAMEORIGIN
x-permitted-cross-domain-policies: none
x-robots-tag: noindex, nofollow
x-xss-protection: 1; mode=block
strict-transport-security: max-age=63072000;includeSubDomains; preload
x-served-by: cloud.xyz.de

Der Eintrag: strict-transport-security: max-age=63072000;includeSubDomains; preload
müsste doch genau das sein, was wir brauchen bzw. suchen?

Habt ihr noch eine Idee an was das liegen könnte? Das Problem scheinen ja noch mehrere zu haben.

Vielen Dank

This topic was automatically closed after 90 days. New replies are no longer allowed.