Was schreibt der Website-Configurator in die .htaccess und wie können Sie dies anpassen?
Mithilfe des Website-Configurators konnten Sie bislang Einstellungen für Ihre Webseite konfigurieren. Diese entspricht leider nicht mehr unseren aktuellen Sicherheitsanforderungen. Aus diesem Grund mussten wir diese Funktion leider einstellen.
Bereits auf Ihrem Webspace vorhandene .htaccess-Dateien sind davon nicht betroffen und bleiben weiterhin bestehen.
Wir erklären Ihnen in diesem FAQ-Artikel, wie Sie vorhandene .htaccess-Dateien zukünftig selbstständig anpassen können.
Grundsätzlich ist jede, vom STRATO Website-Configurator, erzeugte .htaccess-Datei mit folgendem Header versehen:
#######################################################################
# Diese .htaccess wurde vom STRATO-Webservermanager erstellt #
#######################################################################
.htaccess-Datei bei Eigener Fehlerseite
Im Webspace-Verzeichnis / oder im betreffenden Unterverzeichnis wird die .htaccess-Datei mit folgendem Inhalt hinterlegt:
Beispiel
ErrorDocument 401 "text, 401"
ErrorDocument 403 403.html
ErrorDocument 404 404.html
ErrorDocument 500 500.html
Hier haben Sie die Möglichkeit für die einzelnen Fehlercodes individuelle Dateien oder Texte zu hinterlegen. Hierfür müssen Sie den Text oder die Datei in Anführungszeichen setzen.
.htaccess-Datei bei Verzeichnis-Optionen
Für jedes angelegte Verzeichnis wird eine .htaccess-Datei im Webspace angelegt. Die .htaccess-Datei kann jedoch nur gefunden werden, wenn Sie vorab die Option für das Verzeichnis gesetzt haben:
Beispiel
Options –Indexes
DirectoryIndex index.php
DirectoryIndex gibt hierbei an, welche Datei man als Index-Datei angeben möchte.
Der Eintrag Options -Indexes bedeutet, dass der Verzeichnisinhalt nicht angezeigt wird, wenn keine Index-Datei gefunden oder vorhanden ist. Ist die angegebene Index-Datei nicht vorhanden, erhält man eine Fehlerseite, sofern lediglich Ihre Domain / Ihr Ordner mit einem nicht existierenden Inhalt (z.B. www.wunschname.de/keineseite) angegeben wurde.
Das Gegenteil davon ist Options +Indexes. Falls Sie nicht explizit eine Datei angeben, bei der die Domain, der Ordner oder der DirectoryIndex die Index-Datei nicht findet, dann wird der komplette Inhalt von dem Verzeichnis angezeigt.
.htaccess-Datei bei Verzeichnis Schutz Manager
Beispiel
AuthUserFile /mnt/rid/21/76/57202176/htdocs/.htuser
AuthName "Gesicherter Bereich"
AuthType Basic
require user
Die .htaccess-Datei liegt immer in Ihrem Hauptverzeichnis. Je Unterordner können Sie festlegen, ob eine Authentifizierung erfolgen soll. In der Datei sind der Benutzername und das Passwort kryptisch hinterlegt. Möchten Sie den Schutz auf andere Ordner übertragen, müssen Sie die .htaccess-Datei dorthin kopieren.
Um den Passwortschutz zu entfernen, ist es aureichend, wenn Sie die .htaccess-Datei aus dem Ordner löschen.
.htaccess-Datei bei IPs sperren
Die .htaccess-Datei liegt auf Ihrem Webspace in dem Ordner, den Sie schützen möchten.
Beispiel
Order deny,allow
deny from all
allow from 127.0.0.1
Sie haben die Möglichkeit, einzelne IP-Adressen zu sperren. Im genannten Beispiel werden alle IP-Adressen, bis auf die IP 127.0.0.1, gesperrt. Im nachfolgenden Beispiel ist es umgekehrt:
Beispiel
Order deny,allow
deny from 127.0.0.1
Wie kann ich HTTP Strict Transport Security (HSTS) aktivieren?
Über die Funktion HTTP Strict Transport Security (HSTS) erhalten die Besucher Ihrer Webseite die Information, dass die Seite über eine verschlüsselte Verbindung (HTTPS) erreichbar ist und dass diese Einstellung für längere Zeit im Browser zwischengespeichert werden soll. Das erspart den Besuchern zukünftig die URL der Webseite mit https:// einzugeben. Besonders hilfreich ist dies, wenn Besucher ein ungesichertes Netzwerk nutzen (z.B. ein öffentliches WLAN in einem Café), um die Seite aufzurufen.
HSTS per .htaccess
Die Voraussetzung für HSTS ist, dass Ihre Website über ein gültiges SSL-Zertifikat verfügt. Wir empfehlen zusätzlich die Funktion „SSL erzwingen“ zu aktivieren. Bitte stellen Sie auch sicher, dass keine Probleme beim Aufruf per „https“ auftreten.
Mit folgender Zeile können Sie HSTS in der .htaccess-Datei aktivieren:
Header always set Strict-Transport-Security "max-age=31536000"
Über den Parameter «max-age» wird die Dauer in Sekunden angegeben, für die die HSTS-Regel im Browser zwischengespeichert werden soll.
Webseite in die Preload-List eintragen
Der Browser Google Chrome führt eine Liste der Domains, für die HSTS aktiviert ist. Das hilft bei der Lösung des Trust-on-first-use-Problems, und auch andere Browser wie Firefox, Safari oder Internet Explorer greifen auf diese Liste zurück.
Durch diese Liste wird schon beim ersten Aufruf garantiert, dass die URL über „https“ aufgerufen wird. Unter der Webseite hstspreload.org können Sie Ihre Domain kostenlos eintragen lassen
Folgende Punkte müssen für einen Eintrag auf der Preload-Liste erfüllt sein:
- Ein gültiges SSL-Zertifikat
- „SSL erzwingen“ muss sowohl für die Domain, als auch alle Subdomains aktiviert sein
- Für die Domain ist der HSTS-Header mit gültigen Werten hinterlegt und wird ausgeliefert:
- «max-age» darf nicht unter 1 Jahr (31536000 Sekunden) gesetzt sein
- Das «includeSubdomains»-Token ist gesetzt
- Das «preload»-Token ist gesetzt
- Im Falle einer Weiterleitung, muss der HSTS-Header für die Quelladresse eingestellt sein
Anbei ein Beispiel für einen gültigen Eintrag für die Preload-Liste:
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
Es gibt keine Garantie für einen Eintrag in die Preload-Liste und es gibt grundsätzlich keine Möglichkeit diesen Eintrag nachträglich wieder zu entfernen. Bitte stellen Sie daher vor dem Eintrag Ihrer Domain in die Preload-Liste sicher, dass Ihre Webseite langfristig über „https“ erreichbar sein wird.
Sichern Sie Ihre Website durch die Verwendung von SSL!
Webseite in die Preload-List eintragen
Der Browser Google Chrome führt eine Liste der Domains, für die HSTS aktiviert ist. Das hilft bei der Lösung des Trust-on-first-use-Problems, und auch andere Browser wie Firefox, Safari oder Internet Explorer greifen auf diese Liste zurück.
Durch diese Liste wird schon beim ersten Aufruf garantiert, dass die URL über „https“ aufgerufen wird. Unter der Webseite hstspreload.org können Sie Ihre Domain kostenlos eintragen lassen.
Folgende Punkte müssen für einen Eintrag auf der Preload-Liste erfüllt sein:
- Ein gültiges SSL-Zertifikat
- „SSL erzwingen“ muss sowohl für die Domain, als auch alle Subdomains aktiviert sein
- Für die Domain ist der HSTS-Header mit gültigen Werten hinterlegt und wird ausgeliefert:
- «max-age» darf nicht unter 18 Wochen (10.886.400 Sekunden) gesetzt sein
- Das «includeSubdomains»-Token ist gesetzt
- Das «preload»-Token ist gesetzt
- Im Falle einer Weiterleitung, muss der HSTS-Header für die Quelladresse eingestellt sein
Anbei ein Beispiel für einen gültigen Eintrag für die Preload-Liste:
Header set Strict-Transport-Security "max-age=10886400"; includeSubDomains; preload |
Es gibt keine Garantie für einen Eintrag in die Preload-Liste und es gibt grundsätzlich keine Möglichkeit diesen Eintrag nachträglich wieder zu entfernen.
Bitte stellen Sie daher vor dem Eintrag Ihrer Domain in die Preload-Liste sicher, dass Ihre Webseite langfristig über „https“ erreichbar sein wird.