Parameter:
HTTPHSTSMaxAgeKurzbeschreibung:
max-age-Wert für den HSTS-Header (Strict-Transport-Security) – zwingt Browser zur ausschließlichen HTTPS-Nutzung für den konfigurierten ZeitraumSteckbrief
Parameter | HTTPHSTSMaxAge |
Kategorie | Security / TLS |
Komponente | Server |
Verfügbar seit | 14.5 |
Unterstützte Versionen | 14.5, 14.5.1 |
GUI-Entsprechung | Web Site-/Internet Site-Dokument (HSTS) |
Mögliche Werte | Sekunden (empfohlen 31536000 = 1 Jahr); 0 = HSTS deaktiviert |
Beschreibung
Mit dem HSTS-Header (
Strict-Transport-Security: max-age=...) signalisiert der Server dem Browser, dass alle künftigen Anfragen für diese Domain nur noch über HTTPS erfolgen sollen – selbst wenn ein Benutzer http:// eintippt. Das verhindert Downgrade-Attacken in offenen Netzwerken.Wichtig: Vor dem Setzen sollte HTTPS auf allen Vhosts garantiert funktionieren – sonst sperren sich Benutzer aus.
Beispiel-Konfiguration
HTTPHSTSMaxAge=31536000
Hinweise & Stolperfallen
- Wert in Sekunden.
- Vor dem ersten Roll-out mit kurzem
max-age(z. B. 300) testen, dann hochsetzen.
- Für Subdomain-Coverage zusätzlich
HTTPHSTSIncludeSubDomains=1setzen.
- Ergänzt sich mit
WebSSO_Force_HTTPS,HTTPDisable_HSTS_Preload.
- Änderung wirkt nach Restart des HTTP-Tasks (
tell http restart).