HSTS kann nicht eingestellt werden Nextcloud 15.0.0.10

• Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

hier haben wir in der htaccess ganz am ende folgendes übergeben:

<IfModule mod_headers.c>
Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Options -Indexes

Nextcloud version (eg, 12.0.2): 15.0.0.10
Operating system and version (eg, Ubuntu 17.04): Debian 9
Apache or nginx version (eg, Apache 2.4.25): Apache 2.4.3.4
PHP version (eg, 7.1): PHP 7.2.12

Wenn irgendjemand eine Idee hat wie das gehen sollte, wäre ich ich dankbar!

Is this the first time you’ve seen this error? (Y/N): Y

Hallo,

was hast du denn versucht, wie hast du es aktuell konfiguriert und was genau geht nicht? Die Beschreibung ist bisher mehr als vage

Meine grundsätzliche Idee wäre ansonsten die Webserver-Konfig zu verwenden, die in der NC-Doku beschrieben ist.
https://docs.nextcloud.com/server/14/admin_manual/configuration_server/harden_server.html?highlight=hsts#enable-http-strict-transport-security

Ansonsten prüfen ob mod_headers installiert sind.

Hi Schmu,

naja hätte grundsätzlich nicht damit gerechnet das hier jemand zurück schreibt

ich habe die Doku schon hoch und runter gelesen… was brauchbares war hier leider nicht dabei, es ist ein managed server das heisst ein Eintrag kann ich so nicht machen es erscheint direkt ein 500 Internal Error. Ich poste mal hier die aktuelle htaccess rein so wie es eigentlich gehen müsste.

    <IfModule mod_headers.c>
  <IfModule mod_setenvif.c>
    <IfModule mod_fcgid.c>
       SetEnvIfNoCase ^Authorization$ "(.+)" XAUTHORIZATION=$1
       RequestHeader set XAuthorization %{XAUTHORIZATION}e env=XAUTHORIZATION
    </IfModule>
    <IfModule mod_proxy_fcgi.c>
       SetEnvIfNoCase Authorization "(.+)" HTTP_AUTHORIZATION=$1
    </IfModule>
  </IfModule>

  <IfModule mod_env.c>
    # Add security and privacy related headers
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Robots-Tag "none"
    Header set X-Download-Options "noopen"
    Header set X-Permitted-Cross-Domain-Policies "none"
    Header set Referrer-Policy "no-referrer"
    SetEnv modHeadersAvailable true
  </IfModule>

  # Add cache control for static resources
  <FilesMatch "\.(css|js|svg|gif)$">
    Header set Cache-Control "max-age=15778463"
  </FilesMatch>

  # Let browsers cache WOFF files for a week
  <FilesMatch "\.woff2?$">
    Header set Cache-Control "max-age=604800"
  </FilesMatch>
</IfModule>
<IfModule mod_php5.c>
  php_value upload_max_filesize 511M
  php_value post_max_size 511M
  php_value memory_limit 512M
  php_value mbstring.func_overload 0
  php_value always_populate_raw_post_data -1
  php_value default_charset 'UTF-8'
  php_value output_buffering 0
  <IfModule mod_env.c>
    SetEnv htaccessWorking true
  </IfModule>
</IfModule>
<IfModule mod_php7.c>
  php_value upload_max_filesize 511M
  php_value post_max_size 511M
  php_value memory_limit 512M
  php_value mbstring.func_overload 0
  php_value default_charset 'UTF-8'
  php_value output_buffering 0
  <IfModule mod_env.c>
    SetEnv htaccessWorking true
  </IfModule>
</IfModule>
<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteCond %{HTTP_USER_AGENT}  DavClnt
  RewriteRule ^$         /remote.php/webdav/          [L,R=302]
  RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
  RewriteRule ^\.well-known/host-meta /public.php?service=host-meta [QSA,L]
  RewriteRule ^\.well-known/host-meta\.json /public.php?service=host-meta-json [QSA,L]
  RewriteRule ^\.well-known/webfinger /public.php?service=webfinger [QSA,L]
  RewriteRule ^\.well-known/carddav /remote.php/dav/ [R=301,L]
  RewriteRule ^\.well-known/caldav /remote.php/dav/ [R=301,L]
  RewriteRule ^remote/(.*) remote.php [QSA,L]
  RewriteRule ^(?:build|tests|config|lib|3rdparty|templates)/.* - [R=404,L]
  RewriteCond %{REQUEST_URI} !^/\.well-known/(acme-challenge|pki-validation)/.*
  RewriteRule ^(?:\.|autotest|occ|issue|indie|db_|console).* - [R=404,L]
</IfModule>
<IfModule mod_mime.c>
  AddType image/svg+xml svg svgz
  AddEncoding gzip svgz
</IfModule>
<IfModule mod_dir.c>
  DirectoryIndex index.php index.html
</IfModule>
AddDefaultCharset utf-8
Options -Indexes
<IfModule pagespeed_module>
  ModPagespeed Off
</IfModule>
#### DO NOT CHANGE ANYTHING ABOVE THIS LINE ####
AddHandler php-fastcgi7.2 .php .phtml
ErrorDocument 403 /
ErrorDocument 404 /
<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

Natürlich antwortet hier jemand, sogar innerhalb weniger Minuten
Wobei es im deutschen Bereich tatsächlich manchmal etwas länger dauern kann. Auf englisch geschrieben bekommst man eher (in der Regel schneller) Antworten.

Prüfe doch mal, ob du bei deinem Hoster Apache-Module auswählen und aktivieren kannst. Du bräuchtest das apache-Modul:

headers_module

Ansonsten kann man die Hoster in der Regel wegen solchen Dingen anschreiben/ ansprechen. Immerhin stellen sie dir NC zur Verfügung und sollten es auch so zur Verfügung stellen, dass es sicher ist.
Da dieser Header jedoch die Erreichbarkeit des Servers negativ beeinflussen kann - nämlich wenn HTTPS nicht sauber implementiert ist - wäre es auch möglich, dass es aus Vorsicht vorläufig deaktiviert wurde.

Naja das NC haben wir selbst installiert, ganz frisch.

Alles was nun spezial Einstellungen/Anforderungen sind, müssen wir herausfinden bzw. dann dem Hoster übermitteln in sofern wir es nicht ändern können/dürfen.

Wir haben einfach mal nachgefragt, da wir bei einem anderen Projekt die HSTS aktiv haben jedoch kommt es nicht von uns und es ist der gleiche Server.