Apache: "HTTP Strict Transport Security" auf Debian Server aktivieren

Um eine SSL Verschlüsselung weiter gegen Schachstellen abzudichten, sollten Sie Ihre SL Zertifikate bzw. der Funktionsfähigkeit regelmäßig selbst überprüfen lassen. Denn neben einem gültigen und guten SSL Zertifikat gehört auch eine entsprechend gute Apache WebServer Konfiguration zum Schutzsystem Ihres Servers bzw. Ihres Systems.

Eine SSL Überprüfung können Sie z.Bsp. hier durchführen lassen: https://sslcheck.globalsign.com

Sollte bei der Überprüfung eine Fehlermeldung wie z.Bsp. folgende angezeigt werden, dann kann Ihnen dieser Artikel helfen: "HTTP Strict Transport Security nicht aktiviert." Lösung Öffnen Sie Ihre Apache2 Konfigurationsdatei:

nano /etc/apache2/sites-enabled/domainname.com.conf
Fügen Sie dort im SSL Bereich (unter "VirtualHost 1.2.3.4:443") folgende Zeile ein:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
Speichern und schließen Sie die Datei wieder ("Strg+X" drücken) und aktivieren Sie das HTTP Header Modul im Apache:
a2enmod headers
Starten Sie nun Ihren Apache-WebServer neu:
/etc/init.d/apache2 restart
Prüfen Sie anschließend Ihren Server erneut auf die SSL Sicherheit. Ggf. müssen Sie dafür den Cache bei GlobalSign (sh. auf der o.a. Webseite bei den Ergebnissen) löschen.