#1

Filmfan

Neuling  (4 Punkte)  ·   männlich  ·   Deutschland  ·    Nachricht senden
 http://www.zauberschule-franken.de

Hallo,

das "Bayerisches Landesamt für Datenschutzaufsicht" verlangt von uns zwingend die Aktivierung von "HTTP Strict Transport Security (HSTS)". Es wird auch mit empfindlichen (Geld-)Strafen gedroht. Wir verwenden Siquando Shop 9 auf einem 1&1 Webhosting-Paket mit SSL-Verschlüsselung.

Leider hat die Internetsuche zu diesem Thema nicht viel gebracht. Die vorgeschlagenen Änderungen in der .htaccess funktionieren leider nicht (Header set Strict-Transport-Security "max-age=16070400")!

Vielleicht kann uns jemand im Forum weiterhelfen? Oder gibt es schon eine Lösung? Das Problem wird sicher bald alle Shop-Betreiber quälen. Vielleicht weiß jemand einen Rat?


Vielen Dank für jede Info!

Zauberschule-Franken


Dieser Beitrag wurde bereits 1 mal bearbeitet, zuletzt von »Volker W.« (10.02.2018, 14:07)
#2

Volker W.

Administrator  (6659 Punkte)  ·   männlich  ·   Deutschland  ·    Nachricht senden
 https://www.warmers.de  ·   vwarmers  ·   vwarmers  ·   VolkerWarmers  ·   volkerw68

Na, via .htaccess. Und zwar so:

<IfModule mod_headers.c>
	Header always set Strict-Transport-Security "max-age=604800; includeSubDomains; preload"
</IfModule>


Im Beispiel:

  • max-age: eine Woche (= 604.800 sec)
  • includeSubDomains: inklusive aller Subdomains
  • preload: in Preload-Liste eintragen (Hinweis)


Hehr dazu siehe HIER ...


Und wenn Dein Provider diesen Befehl in der .htaccess nicht berücksichtigt/unterstützt, wechsle zu dem von mir generell ausdrücklich empfohlenen Provider All-Inkl.com. Dort kannst Du die Option mit nur einem Mausklick (!) aktivieren. 😉

Zum Vergrößern anklicken...


Viele Grüße,
Volker

Volker W. Musik & Sounds  ·  Facebook  ·  Google+  ·  Twitter  ·  Instagram  ·  StayFriends  ·  LinkedIn  ·  XING

Hilfe-Anfragen per PN, E-Mail usw. werden ab sofort nicht mehr beantwortet. Genau dafür ist dieses Forum da. Vielen Dank!

#3

Filmfan

Neuling  (4 Punkte)  ·   männlich  ·   Deutschland  ·    Nachricht senden
 http://www.zauberschule-franken.de

Hallo!

Vielen Dank für die prompte Antwort ...

Die empfohlenen Einträge in die .htaccess haben ich ausprobiert. Diese funktionieren anscheinend bei 1und1 nicht.

 

Inzwischen habe ich auch bei 1und1 nachgefragt und folgende Antwort erhalten:

PHP läuft bei uns als CGI. Die Änderung von Header Einträgen funktioniert daher nur bei statischen Seiten über die .htaccess, nicht aber bei PHP-Skripten.
In diesem Fall müssten Sie den Header direkt im PHP Code über die Header Funktion schreiben.
http://php.net/manual/de/function.header.php

Das würde dann wohl bedeuten, dass Änderungen von Siquando notwendig wären?

Komme mir völlig hilflos vor!!!

 

Ein Wechsel, der für mich viel Aufwand bedeuten würde, zu dem von Dir empfohlenen Provider "All-Inkl.com" wäre sicher eine gute Lösung. Aber wie zieht man so einen Wechsel durch? Schaffe ich das? Welches Paket soll man buchen? Wie stelle ich sicher, dass die Domain nicht verlorengeht?

Fragen über Fragen ... Fühle mich doch etwas überfordert!

Trotzdem vielen Dank für die Hilfe in Deinem Klasse Forum (wenn es das nicht gäbe, wäre ich schon öfter "baden" gegangen!)!

Gruß aus Nürnberg

Filmfan

#4

Volker W.

Administrator  (6659 Punkte)  ·   männlich  ·   Deutschland  ·    Nachricht senden
 https://www.warmers.de  ·   vwarmers  ·   vwarmers  ·   VolkerWarmers  ·   volkerw68

1.) Aber wie zieht man so einen Wechsel durch? 2.) Schaffe ich das? 3.) Welches Paket soll man buchen? 4.) Wie stelle ich sicher, dass die Domain nicht verlorengeht?

Ich habe mir erlaubt, Deine Fragen mal zu numerieren.

  1. Einfach aus dem All-Inkl.com Kundeninterface heraus. FTP-Dateien, Datenbanken, Mail-Accounts (auch auf IMAP basierende mit allen Mails in allen Verzeichnissen) usw. können mit wenigen Klicks und geringem Aufwand vom alten Provider "abgeholt" werden.
  2. JA, natürlich. Warum nicht?
  3. Das hängt ganz von Deinen persönlichen Anforderungen ab. Die Pakete haben wie überall unterschiedliche Inklusiv-Features. Kostenlose "Let's Encrypt" SSL-Zertifikate gibt's bspw. ab "Privat Plus". "Premium" enthält von Haus aus bereits 10 Domains. Buche das, was DU für Deine Zwecke wirklich benötigst.
  4. Durch sog. Auth-Codes, die der alte Provider im Kundeninterface zur Verfügung stellt / stellen muß. Diese dann bei All-Inkl.com beim Domain-Wechsel (KK) angeben und schwupp ist / sind die Domain(s) umgezogen.


Ich kann diesen Provider (und wirklich nur diesen) immer wieder nur besten Gewissens empfehlen. Nirgendwo anders bekommst Du mehr Leistung und Performance für kleines Geld.


Nur zu Deiner Info:

Auch ich war 15 Jahre lang (1999 bis 2014) Webhosting-Kunde bei 1&1. Die Pakete dort sind aber schlichtweg zu teuer (geworden) und bieten nicht die von mir erwartete Performance. Ich weiß definitiv, wovon ich spreche.

Andere Provider wie z.B. Hosteurope sind natürlich ebenfalls empfehlenswert, aber durch die Bank teurer und mit weniger Features. Den Gang zu All-Inkl.com wirst Du niemals bereuen.


Guter Rat meinerseits: Wähle niemals Telekom oder Strato - es sein denn, Du liebst schwerwiegende Probleme. 😉


Viele Grüße,
Volker

Volker W. Musik & Sounds  ·  Facebook  ·  Google+  ·  Twitter  ·  Instagram  ·  StayFriends  ·  LinkedIn  ·  XING

Hilfe-Anfragen per PN, E-Mail usw. werden ab sofort nicht mehr beantwortet. Genau dafür ist dieses Forum da. Vielen Dank!

249 Aufrufe | 4 Beiträge