Apache - Konfigurera HTTP Strict Transport Security

Introduktion

För att konfigurera Apache webbserver att använda HTTP Strict Transport Security (HSTS), kan följande åtgärder vidtas.

Aktivera HSTS headers

För att ha låta Apache överföra HSTS headers behöver vi lägga till header modulen till konfiguration (/etc/apache2/httpd.conf):

LoadModule headers_module modules/mod_headers.so

Konfigurera headers per webbplats

Konfigurera headers per webbplats som använder SSL, konfigurationsfilen hittas normalt i /etc/apache2/sites-enabled/.

Att ha Strict-Transport-Security header konfigurerade för ett tidsintervall på 2 år bör följande rad läggas till i konfigurationen:

<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>

Lägga till includeSubDomains argument gör att webbläsaren kommer att kräva HTTPS till andra subdomäner också. Att ta bort det här alternativet gör att endast den besökta domänen är alltid ska vara tillgänligt via HTTPS, men detta rekommenderas inte.

Efter de start om Apache, kommer denna header presenteras för alla besökare med en utgångstid av 63072000 sekunder (2 år). Var noga med att bara lägga den här konfigurationen till HTTPS (: 443), och inte i HTTP (: 80) versionen.