Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- webhosting:liveconfig:ssl [2016/08/01 09:27]
PHP-Friends
+++ webhosting:liveconfig:ssl [2016/08/31 12:41] (aktuell)
PHP-Friends [HSTS aktivieren]
@@ Zeile 91: / Zeile 91: @@
 {{ :webhosting:liveconfig:pf_liveconfig_lets_encrypt8.png?nolink |}}
+==== Limits ====
+Die Zertifizierungsstelle von Let's Encrypt hat zwecks Missbrauchsvorbeugung ein paar Limits festgelegt:
+  * Das Limit der **in einem Zertifikat inkludierten Domainnamen** liegt bei **100**
+  * Zertifikate, die **eine Domain** enthalten, sind limitiert auf **20 pro Domain pro Woche**
+  * Ein Zertifikat mit **exakt dem selben Set aus mehreren Domains** kann **5 Mal pro Woche pro Set** angefordert werden
+Weiteres bitte der Quelle entnehmen.
+//Quelle: https://letsencrypt.org/docs/rate-limits/ //
 ===== SSL bei einer (Sub-)Domain aktivieren =====
@@ Zeile 109: / Zeile 120: @@
 Jetzt den Haken bei **HTTPS-Zugriff** setzen und das passende SSL-Zertifikat aus dem Menü direkt darunter auswählen. Bei Bedarf eine Weiterleitung von **HTTP** zu **HTTPS** setzen, indem bei **HTTP-Zugriff** **Weiterleitung** ausgewählt wird und unter **Ziel** zu **%%https://<domain>%%** weitergeleitet wird. Soll der Pfad mit übernommen werden, so fügt man noch **/*** hinzu, also in dem Sinne: **%%https://<domain>/*%%**. Anschließend mit einem Klick auf **speichern** bestätigen und über die soeben eingerichtete SSL-Unterstützung
-===== HSTS =====
+===== HSTS aktivieren =====
+Was HSTS ist, das erklärt Wikipedia eigentlich ganz gut:
+<WRAP center round box 60%>
+**HTTP Strict Transport Security** (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine downgrade Attacke als auch vor Session Hijacking schützen soll. Hierzu kann ein Server mittels des HTTP response header Strict-Transport-Security dem Browser des Anwenders mitteilen, in Zukunft für eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu nutzen. Optional lässt sich dieses über den Parameter //includeSubDomains// auf alle Subdomains ausweiten, also nicht nur auf %%https://test.de%% sondern auch auf %%https://subdomain.test.de%%.
+//Quelle: https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security //
+</WRAP>
+=== Apache ===
+Wenn Apache als Webserver benutzt wird, wird die Aktivierung über dessen **.htaccess**-Dateien erledigt.
+Sie verbinden sich also entweder per SSH oder FTP mit Ihrem Account und navigieren zum öffentlichen Verzeichnis der gewünschten Domain oder Subdomain. Anschließend legen sie die Datei **.htaccess** an, falls diese noch nicht existiert. Dort ist einer der folgenden Einträge anzulegen:
+<WRAP center round tip 60%>
+Der Wert **max-age** ist in dem Fall auf //1 Jahr// vordefiniert. Natürlich ist dieser, je nach Belieben, frei definierbar. Die Angabe geschieht in Sekunden.
+</WRAP>
+**Nur Haupt-Domain: **
+<code>Header set Strict-Transport-Security "max-age=31536000" env=HTTPS</code>
+**Mit Subdomains: **
+<code>Header set Strict-Transport-Security "max-age=31536000"; includeSubDomains env=HTTPS</code>
+=== nginx ===
+Die Aktivierung von HSTS für nginx muss über die Shell erfolgen.
+Dafür haben wir ein Tool entwickelt, das auf den Namen **pf-nginx-setup** hört.
+Bitte wechseln Sie dazu zur [[webhosting:liveconfig:webserver#hsts_aktivieren|Dokumentation des Tools]].

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge