Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.
hier haben wir in der htaccess ganz am ende folgendes übergeben:
Nextcloud version (eg, 12.0.2): 15.0.0.10
Operating system and version (eg, Ubuntu 17.04): Debian 9
Apache or nginx version (eg, Apache 2.4.25): Apache 2.4.3.4
PHP version (eg, 7.1): PHP 7.2.12
Wenn irgendjemand eine Idee hat wie das gehen sollte, wäre ich ich dankbar!
Is this the first time you’ve seen this error? (Y/N): Y
naja hätte grundsätzlich nicht damit gerechnet das hier jemand zurück schreibt
ich habe die Doku schon hoch und runter gelesen… was brauchbares war hier leider nicht dabei, es ist ein managed server das heisst ein Eintrag kann ich so nicht machen es erscheint direkt ein 500 Internal Error. Ich poste mal hier die aktuelle htaccess rein so wie es eigentlich gehen müsste.
Natürlich antwortet hier jemand, sogar innerhalb weniger Minuten
Wobei es im deutschen Bereich tatsächlich manchmal etwas länger dauern kann. Auf englisch geschrieben bekommst man eher (in der Regel schneller) Antworten.
Prüfe doch mal, ob du bei deinem Hoster Apache-Module auswählen und aktivieren kannst. Du bräuchtest das apache-Modul:
headers_module
Ansonsten kann man die Hoster in der Regel wegen solchen Dingen anschreiben/ ansprechen. Immerhin stellen sie dir NC zur Verfügung und sollten es auch so zur Verfügung stellen, dass es sicher ist.
Da dieser Header jedoch die Erreichbarkeit des Servers negativ beeinflussen kann - nämlich wenn HTTPS nicht sauber implementiert ist - wäre es auch möglich, dass es aus Vorsicht vorläufig deaktiviert wurde.
Naja das NC haben wir selbst installiert, ganz frisch.
Alles was nun spezial Einstellungen/Anforderungen sind, müssen wir herausfinden bzw. dann dem Hoster übermitteln in sofern wir es nicht ändern können/dürfen.
Wir haben einfach mal nachgefragt, da wir bei einem anderen Projekt die HSTS aktiv haben jedoch kommt es nicht von uns und es ist der gleiche Server.