Mehrfache Ausgabe der HSTS Headers [SOLVED]

[space2place]

Sooo..
Ich habe Feedback von der Agentur erhalten. Es ist wirklich so, daß Shopware 6 einfach die HSTS Header einfügt sobald die Seite unter SSL läuft.
Es gibt auch keine Einstellun im Backend die das abschaltet. Somit müsste man die Core editieren.
Da ich keine Freund von so etwas bin, habe ich das HSTS Header in KeyHelp deaktiviert. Nun schaut es richtig aus. Das HSTS Header erscheint nur noch einmal.

@Alex
In dem Bericht des PEN Tests haben Sie Agentur folgende Info mitgegeben:

Der Strict-Transport-Security-Header sollte nur ein Mal definiert werden. Der maxage sollte 63072000 Sekunden (zwei Jahre), mindestens aber 31536000 Sekunden (ein Jahr) betragen.

Ich weiss jetzt nicht inwiefern die Zeiten für "maxage" Security relevant sind. Denn bei KeyHelp ist ja Standard "180 Tage"

Gruß
Sascha

[Jolinar]

Ich weiss jetzt nicht inwiefern die Zeiten für "maxage" Security relevant sind. Denn bei KeyHelp ist ja Standard "180 Tage"

Ach...das ist eher so ne philosophische Kiste...
Es gibt keine festen Vorgaben, wie groß maxage sein muß. Die Empfehlungen reichen von 180 Tage im Minimum bis zu 1 oder 2 Jahren. Die meisten SSL Tester werten ihr Testergebnis etwas ab, wenn maxage < 365 Tage ist.
Ich persönlich stelle (auch aus Gewohnheit) generell auf 365 ein.

[space2place]

Danke Dir Jolinar.
Es wurde auch als unkritisch bewertet. Score 0.0 - Das Gleiche war acuh bei dem doppelten HSTS im Header. Nur bevor es nachher doch einen Score bekommt, behebe ich das direkt.
Ich denke dann ist das Thema auch soweit geklärt..
Danke Euch