HSTS kann nicht eingestellt werden Nextcloud 15.0.0.10

  • Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. FĂŒr mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erlĂ€utert ist.

hier haben wir in der htaccess ganz am ende folgendes ĂŒbergeben:

<IfModule mod_headers.c>
Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload"
Options -Indexes

Nextcloud version (eg, 12.0.2): 15.0.0.10
Operating system and version (eg, Ubuntu 17.04): Debian 9
Apache or nginx version (eg, Apache 2.4.25): Apache 2.4.3.4
PHP version (eg, 7.1): PHP 7.2.12

Wenn irgendjemand eine Idee hat wie das gehen sollte, wÀre ich ich dankbar!

Is this the first time you’ve seen this error? (Y/N): Y

Hallo,

was hast du denn versucht, wie hast du es aktuell konfiguriert und was genau geht nicht? Die Beschreibung ist bisher mehr als vage :wink:

Meine grundsÀtzliche Idee wÀre ansonsten die Webserver-Konfig zu verwenden, die in der NC-Doku beschrieben ist.
https://docs.nextcloud.com/server/14/admin_manual/configuration_server/harden_server.html?highlight=hsts#enable-http-strict-transport-security

Ansonsten prĂŒfen ob mod_headers installiert sind.

Hi Schmu,

naja hĂ€tte grundsĂ€tzlich nicht damit gerechnet das hier jemand zurĂŒck schreibt :wink:

ich habe die Doku schon hoch und runter gelesen
 was brauchbares war hier leider nicht dabei, es ist ein managed server das heisst ein Eintrag kann ich so nicht machen es erscheint direkt ein 500 Internal Error. Ich poste mal hier die aktuelle htaccess rein so wie es eigentlich gehen mĂŒsste.

    <IfModule mod_headers.c>
  <IfModule mod_setenvif.c>
    <IfModule mod_fcgid.c>
       SetEnvIfNoCase ^Authorization$ "(.+)" XAUTHORIZATION=$1
       RequestHeader set XAuthorization %{XAUTHORIZATION}e env=XAUTHORIZATION
    </IfModule>
    <IfModule mod_proxy_fcgi.c>
       SetEnvIfNoCase Authorization "(.+)" HTTP_AUTHORIZATION=$1
    </IfModule>
  </IfModule>

  <IfModule mod_env.c>
    # Add security and privacy related headers
    Header set X-Content-Type-Options "nosniff"
    Header set X-XSS-Protection "1; mode=block"
    Header set X-Robots-Tag "none"
    Header set X-Download-Options "noopen"
    Header set X-Permitted-Cross-Domain-Policies "none"
    Header set Referrer-Policy "no-referrer"
    SetEnv modHeadersAvailable true
  </IfModule>

  # Add cache control for static resources
  <FilesMatch "\.(css|js|svg|gif)$">
    Header set Cache-Control "max-age=15778463"
  </FilesMatch>

  # Let browsers cache WOFF files for a week
  <FilesMatch "\.woff2?$">
    Header set Cache-Control "max-age=604800"
  </FilesMatch>
</IfModule>
<IfModule mod_php5.c>
  php_value upload_max_filesize 511M
  php_value post_max_size 511M
  php_value memory_limit 512M
  php_value mbstring.func_overload 0
  php_value always_populate_raw_post_data -1
  php_value default_charset 'UTF-8'
  php_value output_buffering 0
  <IfModule mod_env.c>
    SetEnv htaccessWorking true
  </IfModule>
</IfModule>
<IfModule mod_php7.c>
  php_value upload_max_filesize 511M
  php_value post_max_size 511M
  php_value memory_limit 512M
  php_value mbstring.func_overload 0
  php_value default_charset 'UTF-8'
  php_value output_buffering 0
  <IfModule mod_env.c>
    SetEnv htaccessWorking true
  </IfModule>
</IfModule>
<IfModule mod_rewrite.c>
  RewriteEngine on
  RewriteCond %{HTTP_USER_AGENT}  DavClnt
  RewriteRule ^$         /remote.php/webdav/          [L,R=302]
  RewriteRule .* - [env=HTTP_AUTHORIZATION:%{HTTP:Authorization}]
  RewriteRule ^\.well-known/host-meta /public.php?service=host-meta [QSA,L]
  RewriteRule ^\.well-known/host-meta\.json /public.php?service=host-meta-json [QSA,L]
  RewriteRule ^\.well-known/webfinger /public.php?service=webfinger [QSA,L]
  RewriteRule ^\.well-known/carddav /remote.php/dav/ [R=301,L]
  RewriteRule ^\.well-known/caldav /remote.php/dav/ [R=301,L]
  RewriteRule ^remote/(.*) remote.php [QSA,L]
  RewriteRule ^(?:build|tests|config|lib|3rdparty|templates)/.* - [R=404,L]
  RewriteCond %{REQUEST_URI} !^/\.well-known/(acme-challenge|pki-validation)/.*
  RewriteRule ^(?:\.|autotest|occ|issue|indie|db_|console).* - [R=404,L]
</IfModule>
<IfModule mod_mime.c>
  AddType image/svg+xml svg svgz
  AddEncoding gzip svgz
</IfModule>
<IfModule mod_dir.c>
  DirectoryIndex index.php index.html
</IfModule>
AddDefaultCharset utf-8
Options -Indexes
<IfModule pagespeed_module>
  ModPagespeed Off
</IfModule>
#### DO NOT CHANGE ANYTHING ABOVE THIS LINE ####
AddHandler php-fastcgi7.2 .php .phtml
ErrorDocument 403 /
ErrorDocument 404 /
<IfModule mod_headers.c>
  Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
</IfModule>

NatĂŒrlich antwortet hier jemand, sogar innerhalb weniger Minuten :stuck_out_tongue:
Wobei es im deutschen Bereich tatsÀchlich manchmal etwas lÀnger dauern kann. Auf englisch geschrieben bekommst man eher (in der Regel schneller) Antworten.

PrĂŒfe doch mal, ob du bei deinem Hoster Apache-Module auswĂ€hlen und aktivieren kannst. Du brĂ€uchtest das apache-Modul:

headers_module

Ansonsten kann man die Hoster in der Regel wegen solchen Dingen anschreiben/ ansprechen. Immerhin stellen sie dir NC zur VerfĂŒgung und sollten es auch so zur VerfĂŒgung stellen, dass es sicher ist.
Da dieser Header jedoch die Erreichbarkeit des Servers negativ beeinflussen kann - nÀmlich wenn HTTPS nicht sauber implementiert ist - wÀre es auch möglich, dass es aus Vorsicht vorlÀufig deaktiviert wurde.

Naja das NC haben wir selbst installiert, ganz frisch.

Alles was nun spezial Einstellungen/Anforderungen sind, mĂŒssen wir herausfinden bzw. dann dem Hoster ĂŒbermitteln in sofern wir es nicht Ă€ndern können/dĂŒrfen.

Wir haben einfach mal nachgefragt, da wir bei einem anderen Projekt die HSTS aktiv haben jedoch kommt es nicht von uns und es ist der gleiche Server.