Parameter:
HTTPHSTSIncludeSubDomainsKurzbeschreibung: Aktiviert das
includeSubDomains-Attribut im HSTS-Antwortheader – erzwingt HTTPS auch für alle Subdomänen der ausliefernden Site.Steckbrief
Parameter | HTTPHSTSIncludeSubDomains |
Kategorie | HTTP / Web |
Komponente | Server |
Verfügbar seit | 12.0 |
Unterstützte Versionen | 12.0, 14.0, 14.5, 14.5.1 |
GUI-Entsprechung | Web Site- / Internet Site-Dokument |
Mögliche Werte | 0 = ohne Subdomänen (Standard), 1 = includeSubDomains setzen |
Beschreibung
Ist HSTS über das Server-/Internet-Site-Dokument aktiviert, sendet Domino den Header
Strict-Transport-Security. Mit HTTPHSTSIncludeSubDomains=1 wird zusätzlich das Attribut includeSubDomains mitgeschickt – dadurch nehmen Browser an, dass alle Subdomänen der Site ebenfalls ausschließlich über HTTPS erreichbar sein sollen. Sehr effektives Mittel gegen „Strip"-Angriffe auf vergessene HTTP-Vhosts unter derselben Domain.Beispiel-Konfiguration
HTTPHSTSIncludeSubDomains=1
Hinweise & Stolperfallen
- Nur aktivieren, wenn alle verwendeten Subdomänen tatsächlich über HTTPS erreichbar sind – sonst werden interne Tools oder Legacy-Systeme im Browser unerreichbar.
- Setzt voraus, dass HSTS überhaupt aktiviert ist (Web Site- bzw. Internet Site-Dokument oder via
HTTPEnableHSTS).
- Browser cachen HSTS-Settings lange (Stichwort
max-age) – Rücknahme einer falschen Konfiguration ist nicht-trivial.
- Wirkt nach HTTP-Restart (
tell http restart).