Wrong verb for HSTS header
authorOlivier Paroz <oparoz@users.noreply.github.com>
Tue, 23 Sep 2014 00:09:07 +0000 (02:09 +0200)
committerOlivier Paroz <oparoz@users.noreply.github.com>
Tue, 23 Sep 2014 00:09:07 +0000 (02:09 +0200)
`Header add` will always add the header, even if it already exists. `Header set` should be used if we want to enforce it server wide or `Header setifempty` if we want to allow users on the server to override the value.

src/configuration/Webservers/Apache/default-ssl

index 0428e9f..91536f8 100644 (file)
        SSLHonorCipherOrder On
        SSLCompression off
        # Add six earth month HSTS header for all users...
-       Header add Strict-Transport-Security "max-age=15768000"
+       Header set Strict-Transport-Security "max-age=15768000"
        # If you want to protect all subdomains, use the following header
        # ALL subdomains HAVE TO support HTTPS if you use this!
        # Strict-Transport-Security: "max-age=15768000 ; includeSubDomains"