Zertifikate von StartSSL (vorerst) nicht mehr einsetzen !

Ich hab ja auch schon einige male darüber berichtet, wie man ein Zertifikat von StartSSL einrichtet. Leider gibt es schlechte Nachrichten für alle, die ein Zertifikat von StartSSL oder WoSign (China) einsetzen.

connection

Mozilla (Firefox) und Google (Chrome) werden, oder haben schon, die CA’s aus ihren Browsern entfernen. Das bedeutet, das diese Browser eure Seite nicht mehr als Vertrauenswürdig anerkennen und eure Benutzer somit eine Warnung sehen werden, wenn sie eure Webseite besuchen wollen.

Weiterlesen

HTTP Strict Transport Security aktivieren – ownCloud

Seit owncloud 8.2.x bekommt man im Admin Bereich folgende Warnung:

The „Strict-Transport-Security“ HTTP header is not configured to least „15768000“ seconds. For enhanced security we recommend enabling HSTS as described in our security tips.

01_Strict_TransportBislang bin ich davon ausgegangen, dass dies im Apace Virtual Hostfile editiert werden muss. Eine Rückfrage bei meinem Hoster All-inkl.com ergab aber, dass es auch in der .htaccess eingestellt werden kann.

Weiterlesen