Nach Umstellung auf SSL --> Strict-Transport-Security

heydemar · March 19, 2018, 5:05pm

Hallo zusammen,

ich hoste meine NextCloud bei 1und1 und habe nun ein Wildcars-Zertifikat drauf gebunden. Die Cloud lässt sich auch über https erreichen - die Meldung unter Einstellungen das man auf SSL umstellen soll ist auch weg, jedoch habe ich nun eine neue:

Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den [Sicherheitshinweisen] erläutert ist.

Alles was ich im Web gefunden habe beschreibt einen weg etwas auf dem Webserver (den ich selber nicht betreibe) zu ändern, gibt es trotzdem eine Möglichkeit?

Mit Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains"
in der .htaccess habe ich schon versucht … leider ohne positive Auswirkungen.

Danke und beste Grüße

heydemar · March 23, 2018, 7:50am

Keiner eine Idee!? Ich denke die Frege wird sein ob 1und1 dies in der .htaccess supportet, oder?

Beste Grüße

juggy · July 24, 2018, 9:19pm

Vor längerer Zeit (OC8) hatte ich lib/private/response.php gefunden und dort hinzugefügt:

--- cloud/lib/private/response.php~     2015-12-21 13:46:53.000000000 +0100
+++ cloud/lib/private/response.php      2016-02-04 11:42:11.375935603 +0100
@@ -256,6 +256,7 @@
                // Send fallback headers for installations that don't have the possibility to send
                // custom headers on the webserver side
                if(getenv('modHeadersAvailable') !== 'true') {
+                       header('Strict-Transport-Security: max-age=15768000; includeSubDomains; preload');
                        header('X-XSS-Protection: 1; mode=block'); // Enforce browser based XSS filters
                        header('X-Content-Type-Options: nosniff'); // Disable sniffing the content type for IE
                        header('X-Frame-Options: Sameorigin'); // Disallow iFraming from other domains

Das funktionierte, war mir aber nie sicher, ob es somit HSTS komplett einschaltet. Jetzt bin ich bei NC13 und das File ist nun unter lib/private/legacy/response.php, die Änderung dort scheint unter Basis settings zumindest den gleichen Effekt zu haben wie bisher bei OC. Mal sehen, vermute nun wird sich die Code Integrity beschweren… aber ich habe mir die Mühe gemacht und im FF die mitgeschickten Header für ein paar Seiten verifiziert, überall ist nun Strict-Transport-Security gesetzt. Ob es einen grundsätzlichen Effekt hat oder nur bei ganz wenigen Requests geht, weiß ich nicht.

Viele Grüße
Jürgen

Witzker · October 19, 2019, 7:21pm

Hi bin auch bei 1und1 jetzt IONOS Webspace ( kein Serverzugriff?)

NC 17 gerade installiert
selbes Problem
lib/private/response.php gibt es da nicht!
da:
lib/private/legacy/response.php
ist es aber ich habe keine Ahnung wo ich was einfügen soll!

Hat er bei Dir geklappt

Wie ist denn nun die Lösung

Witzker · February 9, 2020, 7:47pm

So nun ist NC 18 insalliert selbes Problem!
Was muss Wo eingestellt werden?

Caeppi · May 7, 2020, 1:38pm

Hallo, ich bin auch bei 1und1 (IONOS) und habe das selbe Problem.

Konntest Du das lösen?

Viele grüße
Caeppi

devnull · May 7, 2020, 2:04pm

Lese evtl. noch:

Caeppi · May 7, 2020, 2:09pm

Danke, aber diese Anleitung hilft leider nicht, da man bei IONOS ja Webspace hat und den virtual host nicht bearbeiten kann.

devnull · May 7, 2020, 2:13pm

Dann wirst du wohl nichts machen können. Es sei denn man kann irgendwo für jede Nextcloud-Seite die Änderungen (vielleicht im Header?) durchführen. Vielleicht musst du damit leben.

Caeppi · May 7, 2020, 2:14pm

Danke, werde ich dann wohl…

Witzker · May 7, 2020, 2:20pm

Ich konnte es bisher auch nicht lösen!