7,540
edits
Changes
no edit summary
https://www.happyassassin.net/cgit/user_http_external/tree/README.md
==Apache beállítások==
===HSTS===
(HTTP Strict Transport Security)<br>
A HSTS egy biztonsági kiegészítése a https protokollnak, amit az RFC 6797 ír le: (https://tools.ietf.org/html/rfc6797 ). Ha a HSTS az apache szerveren be van kapcsolva egy HTTPS alatt kommunikáló virtuális hoszton, akkor a szerver a válaszba elhelyez egy HTST header-t is, amiben egy vállalást tesz arra, hogy legalább az itt megadott ideig (általában fél év) az adott hosztot kizárólag HTTPS alatt fogja futtatni. Ha a kliens (böngésző vagy más mobilos alkalmazás) HSTS képes, akkor el fogja menteni ezt az információt az adott hoszt névhez. Ha bármilyen módon megpróbálná később egy támadó a HTTPS kommunikációt HTTP-re terelni (akár egy hamis oldalon keresztül) a böngésző nem lesz hajlandó kommunikálni HTTP felett amíg a vállalás le nem jár. Sikeres kapcsolat esetén a vállalás ideje mindig újraindul.
A httpd.conf-ban töltsük be a htst modult.<br>
/etc/httpd/conf/httpd.conf
<pre>
...
LoadModule headers_module modules/mod_headers.so
...
</pre>
Ezután a HTTPS-es (443) virtuális hoszt konfigurációjába be kell kapcsolni a HSTS header használatát, és meg kell adni a vállalási időt is.<br>
/etc/httpd/vhosts.d/owncloud.berki.org.443.conf
<pre>
Indítsuk újra az apache-ot.
<pre>
# service httpd restart
</pre>
Majd nyissuk meg megint a https://owncloud.berki2.org oldalt. Nézzük meg a fogadott fejléceket a Firefox fejlesztői eszközben.
A Firefox a HSTS információkat a iteSecurityServiceState.txt fájlban tárolja:
<pre>
$ cat /home/adam/.mozilla/firefox/61og30yv.default/SiteSecurityServiceState.txt | grep berki2
owncloud.berki2.org:HSTS 0 17089 1492295509620,1,1
</pre>