1 Laatst bewerkt door guidovanh (03 Nov 2017 23:07:38)

Onderwerp: "Strict-Transport-Security" HTTP header configureren

Ik probeer de beveiliging van mijn subdomein op een hoger niveau te brengen. Het subdomein draait onder Ubuntu op een VPS. De rest van het domein staat op een shared hostingserver.

Als ik hstspreload.org/?domain=sub.domein.nl ga, krijg ik een aantal meldingen, waarvan ik niet weet wat ik moet veranderen aan mijn Apache-confirugratie.

Status: sub.domein.nl is not preloaded.
Eligibility: In order for sub.domein.nl to be eligible for preloading, the errors below must be resolved:
Error: Subdomain
`sub.domein.nl` is a subdomain. Please preload `domein.nl` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)
Error: No HSTS header
Response error: No HSTS header is present on the response.

De opmerking om domein.nl te gebruiken kan toch niet? Dat maakt geen deel uit van deze configuratie, domein.nl draait op een shared webhostingserver.

Het laatste gedeelte van mijn Apache-configuratiefile:

<VirtualHost *:443>
  ServerName sub.domein.nl
    <IfModule mod_headers.c>
      Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
    </IfModule>
</VirtualHost>

Wat heb ik fout ingesteld?

Vriendelijke groet,
Guido