HSTS Preload-Abschnitt zu .htaccess

Nachdem ich kürzlich eine Site auf SSL verschoben hatte, wollte ich HSTS für ein eventuelles Preload erzwingen. Die Syntax ist genehmigt und die Chrome-Liste ermöglicht, dass sie in Ordnung ist. Da es sich jedoch überhaupt nicht um einen Codierer handelt, tritt ein kleines Problem auf.

Ich habe:

php_value upload_tmp_dir "/tmp"

# Force SSL

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

# Redirect to www
RewriteCond %{HTTP_HOST} ^example.com\.com [NC]
RewriteRule (.*) https://www.example.com/$1 [E=HTTPS,R=301,L]

# Security header
Header set Strict-Transport-Security "max-age=63072000; preload; includeSubdomains" env=HTTPS

# End Force SSL'

Dies scheint in Ordnung zu sein, aber einige Websites im Web - ich werde dies nicht mit Zitaten überladen - raten RewriteCond %{HTTPS} offund andere habenRewriteCond %{HTTPS} on

Logischerweise scheint ON richtig zu sein, aber ich muss wissen, was richtig ist. Weder geben Fehler.

... beraten RewriteCond %{HTTPS} offund andere habenRewriteCond %{HTTPS} on

Das wäre in dem gegebenen Kontext nicht sinnvoll, da dies offensichtlich Gegensätze sind (es würde mich interessieren, die vollständigen Beispiele zu sehen, aus denen Sie dies zitieren).

Aber vielleicht meinst du offvs !on? Diese sind in diesem Zusammenhang gleichwertig. Das !Präfix negiert den regulären Ausdruck, was effektiv bedeutet, dass es nicht "Ein" ist (dh es muss "Aus" sein).

Im Kontext Ihrer obigen Anweisungen, in denen Sie testen, ob HTTPS nicht aktiv ist, sind die folgenden Elemente gleichwertig:

# Does the HTTPS server variable contain "off"?
RewriteCond %{HTTPS} off

# Does the HTTPS server variable not contain "on"?
RewriteCond %{HTTPS} !on

Die HTTPS-Servervariable ist entweder auf "Ein" oder "Aus" gesetzt. (Oder es ist überhaupt nicht eingestellt - aber das hängt von Ihrem Server- / SSL-Setup ab, und das haben Sie bereits entdeckt.)

Was Sie verwenden, ist wirklich nur eine Frage der Präferenz.

Weitere Hinweise zu HSTS und .htaccess

# Redirect to www
RewriteCond %{HTTP_HOST} ^example.com\.com [NC]
RewriteRule (.*) https://www.example.com/$1 [E=HTTPS,R=301,L]

# Security header
Header set Strict-Transport-Security "max-age=63072000; preload; includeSubdomains" env=HTTPS

(Ich nehme an, das Extra .comin ^example.com\.comist nur ein Tippfehler? Das sollte gerecht sein ^example\.com.)

E=HTTPS- Die Einstellung der Umgebungsvariablen HTTPS für die RewriteRule Umleitung scheint erforderlich zu sein, um den Strict-Transport-SecurityHTTP-Antwortheader für die kanonische (nur HTTPS) Nicht-WWW-zu-WWW-Umleitung ^{[* 1]} (dh https://example.combis https://www.example.com) festzulegen , die bedingt festgelegt wird basierend auf der env=HTTPSÜberprüfung der HeaderRichtlinie. Damit dieser Header in der Umleitung festgelegt wird , müssen Sie jedoch auch das alwaysSchlüsselwort in der HeaderDirektive verwenden, z. B.:

Header always set Strict-Transport-Security "max-age=63072000; preload; includeSubdomains" env=HTTPS

Wie in den Apache-Dokumenten erwähnt , in Bezug auf die Verwendung alwaysder HeaderDirektive beim Festlegen von Headern für Weiterleitungen :

• Sie fügen einer lokal generierten nicht erfolgreichen (nicht 2xx) Antwort einen Header hinzu, z. B. einer Umleitung. In diesem Fall alwayswird in der endgültigen Antwort nur die entsprechende Tabelle verwendet.

^{[* 1]} Dieser Header muss in der Umleitung gesetzt werden, um Punkt 4.1 der Anforderungen für die Übermittlung der HSTS-Vorlast zu erfüllen :

Wenn Sie eine zusätzliche Umleitung von Ihrer HTTPS-Site bereitstellen, muss diese Umleitung weiterhin den HSTS-Header enthalten (und nicht die Seite, auf die sie umgeleitet wird).

Nur ein zusätzlicher Kommentar zu dem verlinkten Artikel in den Kommentaren unten, der besagt:

Die env=HTTPSUmgebungsvariable funktionierte nicht wie erwartet. Also habe ich das E=HTTPSFlag in der WWW-Umleitung verwendet, um die env=HTTPSUmgebungsvariable bei der nächsten Anforderung festzulegen .

Das letzte Bit zum Setzen von " env=HTTPSUmgebungsvariable bei der nächsten Anforderung" ist nicht ganz richtig. Es setzt die HTTPSUmgebungsvariable auf die aktuelle (Umleitungs-) Antwort . Zu dem Zeitpunkt, an dem die "nächste Anforderung" erfolgt (dh der Browser hat auf die Umleitung geantwortet), ist diese Umgebungsvariable (die oben festgelegt wurde) längst vergessen. Dies erfordert jedoch, dass das alwaysSchlüsselwort in der HeaderDirektive verwendet wird (wie oben erwähnt).

Header always set Strict-Transport-Security "max-age=63072000; preload; includeSubdomains" env=HTTPS

Nur ein kleiner Punkt, und vielleicht spielt das eigentlich keine Rolle, aber ... ich würde die preloadRichtlinie am Ende der Liste der Richtlinien einfügen. Zum Beispiel:

 Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS

Die preloadRichtlinie ist nicht Teil der HSTS- Spezifikation (HTTP Strict Transport Security) . Es wird nur von der Preload-Liste benötigt. Andere Benutzeragenten / Browser verwenden dies nicht und verstehen dies möglicherweise nicht einmal. Daher wäre es logischer, dies am Ende der Liste zu platzieren. Einige Parses werden möglicherweise beendet, sobald sie eine "ungültige" Direktive erreichen.

RewriteCond %{HTTPS} !=on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Überprüfen Sie, ob HTTPS NICHT aktiviert ist

RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L]

Überprüfen Sie, ob HTTPS ausgeschaltet ist

RewriteCond %{SERVER_PORT} !^443$
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

Überprüfen Sie, ob die Verbindung NICHT auf dem sicheren https-Port 443 ausgeführt wird

Aber alle machen dasselbe: Überprüfen Sie, ob kein https vorhanden ist, und leiten Sie zu https um.

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
</IfModule>

Sie wissen bereits, was es tut.