Verbindung zu Server/Domain nur per HTTPS zulassen?

  • Hallo zusammen,


    ich habe ein neues Webhosting-Paket welches ich gerade einrichte. Dazu gehören auch zwei (mit der Standardomain 3) Domains dazu. Es ist ja möglich für jede Domain ein SSL Zertifikat zu generieren.

    Nun Frage ich mich, ob es die Möglichkeit gibt, jede Verbindung zum Server (und zu allen Domains) per HTTP abzulehnen. Entweder wird auf HTTPS weitergeleitet oder es kommt keine Verbindung zu Stande.

    Bei meinem Apache unterm Tisch habe ich das, soweit ich weiß, mit VirtualHosts gelöst indem einfach nur die SSL-Konfiguration erreichbar ist.


    Gibt es hier auch Möglichkeiten? (Man vergisst ja auch selber beim eintippen mal das HTTPS).


    Vielen Dank im Voraus.


    Gruß


    plate

  • Ja, es gibt beim Webhosting zumindest unter "Hosting-Einstellungen" in der Kategorie "Sicherheit" folgende Option zu aktivieren:


    Dauerhafte, für SEO geeignete 301-Weiterleitung von HTTP zu HTTPS


    Damit werden alle Anfrage von HTTP zu HTTPS weitergeleitet.


    Außerdem kann noch der Header "Strict-Transport-Security" gesetzt werden. Dieser weißt den Browser an für eine übergebene Zeit nur TLS Verbindungen von und zu der Domains aufzubauen / zu akzeptieren. Ob dieser über das wcp gesetzt werden kann, kann ich gerade aber nicht sagen.

  • plate Habe es bisher nur direkt in vHosts configuriert und dort werden die Parameter mit " umschlossen.


    Beispiel:


    Code
    add_header Strict-Transport-Security "max-age=31536000; includeSubDomains"



    Aber du kannst das auch sehr einfach testen, indem du nach dem aktivieren per Webmastertools (F12 bei Firefox oder Chrome) schaust, ob der Header nun vom Webserver gesendet wird.