Ho un server LAMP e il mio provider di certificati SSL mi ha consigliato di impostare l'intestazione HSTS come segue in Apache2:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload" env=HTTPS
Domande:
Che cosa fa preload ?
Che cosa fa env=HTTPS ?
preload ? Il flag di precarico indica il consenso per consentire al dominio di accedere al preload HSTS elenco (utilizzato da Chrome, Firefox, IE 11, Edge e altri browser).
The Chrome security team allows any domain to submit their domain to the list, provided it meets the following requirements:
- HTTPS is enabled on the root domain (e.g.
https://donotcall.gov), and all subdomains (e.g.https://www.donotcall.gov) – especially thewwwsubdomain, if a DNS record for it exists.- The HSTS policy includes all subdomains, with a long
max-age, and apreloadflag to indicate that the domain owner consents to preloading.- The website redirects from HTTP to HTTPS, at least on the root domain.
Fonte: link
Puoi visualizzare ulteriori informazioni sulla pagina di invio del precarico HST .
env=HTTPS ? Questo è un argomento della direttiva% co_de Apache (parte del modulo mod_headers ):
env=[!]varnameThe directive is applied if and only if the environment variable
varnameexists. A!in front ofvarnamereverses the test, so the directive applies only ifvarnameis unset.
In questo caso, l'intestazione HTTP viene inviata solo quando è impostata la variabile di ambiente Header . Questa variabile di ambiente viene impostata solo quando si accede a pagine / risorse tramite HTTPS. Il ragionamento alla base di questo è nella sezione 7.2 della specifica HSTS :
An HSTS Host MUST NOT include the STS header field in HTTP responses conveyed over non-secure transport.
Per quanto riguarda perché , vedi questa domanda .