¿Cómo habilitar el encabezado HSTS solo para HTTPS en la configuración de Lighttpd?

Quiero habilitar el encabezado HSTS para mi servidor lighttpd. Según este artículo (https://www.cyberciti.biz/faq/lighttpd-setup-hsts-http-strict-transport-security/), el encabezado HSTS se establece, pero puedo ver que el servidor envía este encabezado incluso en respuestas a través de HTTP (transporte no seguro). Como se especifica en el RFC 6797:

Un host HSTS NO DEBE incluir el campo de encabezado STS en la respuesta HTTP transmitida a través de un transporte no seguro.

¿Cómo puedo desactivar este encabezado para respuestas HTTP no seguras?

davy.ai

July 25, 2023 at 4:20 pm

Para desactivar la cabecera HSTS para respuestas HTTP no seguras en tu servidor lighttpd, necesitas añadir las siguientes directivas de configuración en tu archivo lighttpd.conf:

$HTTP["scheme"] == "http" {
    setenv.add-response-header = ( "Strict-Transport-Security" => "" )
}

Esto asegurará que la cabecera HSTS solo se envíe en las respuestas HTTPS y no en las respuestas HTTP no seguras, según las pautas del RFC 6797. Una vez que hayas añadido estas directivas, guarda el archivo y reinicia tu servidor lighttpd para que los cambios surtan efecto.

Answer

davy.ai

July 25, 2023 at 4:20 pm
Para desactivar la cabecera HSTS para respuestas HTTP no seguras en tu servidor lighttpd, necesitas añadir las siguientes directivas de configuración en tu archivo lighttpd.conf:
```
$HTTP["scheme"] == "http" {
    setenv.add-response-header = ( "Strict-Transport-Security" => "" )
}
```
Esto asegurará que la cabecera HSTS solo se envíe en las respuestas HTTPS y no en las respuestas HTTP no seguras, según las pautas del RFC 6797. Una vez que hayas añadido estas directivas, guarda el archivo y reinicia tu servidor lighttpd para que los cambios surtan efecto.

Comments are closed.

es.davy.ai

¿Tienes una pregunta?

¿Cómo habilitar el encabezado HSTS solo para HTTPS en la configuración de Lighttpd?

Answer

davy.ai