KeyHelp Community

Guten Abend.
die aktuelle Version von KeyHelp erlaubt das aktivieren von HSTS. Leider wird bei Aktivierung weder der Parameter includeSubDomains noch preload gesetzt. Wir verwalten ein paar Seiten, welche in der HSTS PreLoad List aufgenommen werden müssen.

Ist eine kurzfristige Realisierung denkbar?


Gruß,
Dani

Du kannst HSTS auch direkt über die .htaccess Datei steuern.

Ist eingebaut, kommt mit der Version diese Woche.

select name from me; wrote: ↑Mon 3. Dec 2018, 08:46 Du kannst HSTS auch direkt über die .htaccess Datei steuern.

Das ist mir durchaus bewusst. Aber ich bin der Ansicht, entweder steuere ich es über die .htaccess Datei oder über das Panel. Ein Mix aus beiden bringt im die Gefahr mit sich, dass man nicht weiß wo suchen.

Alexander wrote: ↑Mon 3. Dec 2018, 09:20 Ist eingebaut, kommt mit der Version diese Woche.

Danke!

Moin.
Die Aktualisierung auf 18.2 hat problemlos funktioniert. TOP!

Alexander wrote: ↑Mon 3. Dec 2018, 09:20 Ist eingebaut, kommt mit der Version diese Woche.

Ich habe HSTS inkl. Parameter für die Hauptdomain domain.de konfiguriert bzw. aktiviert. Führe ich mit Hilfe von Qualys SSL Server Test eine Check durch, so ist für domain.de HSTS nicht aktiv. Lasse ich anschließend www.domain.de prüfen, ist HSTS inkl alle Paramter aktiv. Für mein Verständis müsste es eigentlich genau andersherum sein, da ich die Option "Sicherheitseinstellungen auf alle Subdomains übertragen." gar nicht gesetzt hatte.

/Dani

Moin,

Der Qualys SSL Test speichert die Ergebnisse im Cache, sicher das du vorher auf "Hide cache" geklickt hast, bevor du den Test ausgeführt hast? Für die Domain, für die du HSTS aktiviert hast, sollte in jedem Fall der Header gesetzt sein.

(Kannst du auch über die Entwickler-Tools deines Browsers nachvollziehen. Chrome: Rechts-Klick - "Untersuchen" -> "Network" (ggf. F5 drücken) -> auf den ersten Request -> "Header").

Hab die Funktionsweise HSTS + includeSubDomains soeben nochmal mit einer Privaten Domain nachgestellt, hat geklappt

Moin.
Ich bin mir sicher, dass der Cache von SSL Server Test nicht schuld ist. Eine PN mit den Links zu der betroffenen Domain ist auf dem Weg zu dir.

(Kannst du auch über die Entwickler-Tools deines Browsers nachvollziehen. Chrome: Rechts-Klick - "Untersuchen" -> "Network" (ggf. F5 drücken) -> auf den ersten Request -> "Header")

Dort sehe ich bei www.domain.de die entsprechenden Parameter für HSTS.

Ist folgender Sachverhalt evtl. noch relevant:
Ich habe eine Weiterleitung von http:// auf https:// für domain.de und www.domain.de konfiguiert.
Per .htaccess erfolgt zusätzlich noch ein Rewrite von domain.de auf www.domain.de.

/Dani

Guten Abend.
Nachdem die Aktivierung von HSTS bei einer anderen Domain völlig problemlos funktioniert hat, habe ich die betroffene Domain nochmals gelöscht und neu angelegt. Danach wieder HSTS mit entsprechenden Parameter konfiguriert und gespeichert. Inzwischen ist auch der Qualys SSL Server Test postiv (A+).

/Dani

Moin.
Ich habe heute Abend einen weiteren Server mit KeyHelp (18.02) installiert. Es handelt sich um eine frische Ubuntu 18.04 LTS Installation.

Was soll ich sagen, nach der Aktivierung von HSTS Für die Domain xyz.de bzw. Sudomain kh.xyz.de konnte ich die Problemtik reproduzieren. Sprich sowohl in den Entwickertools von Chrome, bei Qualys als auch Hardenize ist HSTS gesetzt.

Server bereits neu gestartet als auch HSTS de- und wieder aktiviert - ohne Erfolg. Das Protokoll zeigt ebenfalls keine Fehler an.

/Dani