Vimexx Facebook

Onderwerp: Praat mee over: Wat is HSTS?

02-05-2018 13:48

Er is een nieuw Blog artikel gepubliceerd!

"HSTS wordt gebruikt om downgrade-attacks en cookie hijacking tegen te gaan. Hoe dit precies in zijn werk gaat, lees je op deze pagina. Ook lees je in dit artikel wat de voordelen van HSTS zijn."

Lees het volledige artikel op: https://www.vimexx.nl/blog/wat-is-hsts

07-05-2018 15:39
#1352

Mooi artikel, maar hoe kan ik de HSTS header toevoegen in de preload? 

Het zou fijn zijn als het artikel niet allemaal beschrijft wat het is en de voordeel, maar ook hoe het geimplementeerd is of dient te worden. 

Ik vind op een andere website bijv. deze regel: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Wordt dit als standaard gedaan en hoef ik m'n website alleen maar aan te melden? Of moet ik nog een bep. handeling doen in DirectAdmin?

15-05-2018 21:26
#1373

Hoi

Ik was hier ook naar aan het zoeken en daarom hier terecht gekomen. 

Als ik in .htaccess zet:

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" env=HTTPS

geeft een test van internet.nl  aan dat hsts goed staat.  Ik neem dus aan dat dit voldoende is. 

Mocht dat anders zijn dan hoor ik dat graag van de support afdeling.

 

 

 

 

 

01-04-2020 11:50
#2498

HSTS aanzetten onder "SSL Certificaten / Legacy SSL Certificaten" zorgt er voor dat de root van je website automatisch naar HTTPS gaat als de site met HTTP wordt geopend. MAAR... dat werkt niet bij subdomains! Zelfs niet bij www! Dat is dus eigenlijk niet bruikbaar.

Zelf een "Strict-Transport-Security" regel toevoegen in je ".htaccess" met "includeSubDomains" werkt dan beter, maar niet als je datzelfde ".htaccess" bestand ook in je ontwikkelomgeving (thuis?) wilt gebruiken. Dan moet je daar ook met HTTPS werken.

Het handigst werkt dan een regel in (bij mij) je config.php:

switch (WHEREAMI) {
    (..)
    case 'PROD':
        if (!$_SERVER['HTTPS']) {
            header("Location: https://" . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
            exit;
        }
}

- 5 van 5 sterren -