HTTP Strict Transport Security

HTTP Strict Transport Security (HSTS)は、プロトコルダウングレード攻撃やクッキーハイジャックなどの中間者攻撃からWebサイトを保護するのに役立つポリシーメカニズムです。

On SUSE Multi-Linux Manager, HSTS is enabled by default. If you need to disable it on the server, follow this procedure:

Procedure: Disabling HSTS on the server

On the server container host, as root, execute the following command to create a new configuration file with setting max-age=0:
mgrctl exec -- \
  echo 'Header always set Strict-Transport-Security "max-age=0; includeSubDomains"' \
  > /etc/apache2/conf.d/zz-spacewalk-www-hsts.conf
次のコマンドでApacheを再起動します。
mgrctl exec -- systemctl restart apache2

If you need to disable it on the proxy, follow this procedure:

Procedure: Disabling HSTS on the proxy

On the server container host, as root, execute the following command to create a new configuration file with setting max-age=0:
echo 'Header always set Strict-Transport-Security "max-age=0; includeSubDomains' \
  > /etc/uyuni/custom-httpd.conf
Run the command:
mgrpxy install podman --tuning-httpd /etc/uyuni/custom-httpd.conf config.tar.gz

新しい設定ファイルに<filename>.confという名前を付ける場合は、適切なタイミングでロードされるようにしてください。たとえば、spacewalk-www.confで定義されたものを上書きするには、新しいファイルがアルファベット順でこのファイルの後にある必要があります。 Apacheがファイルをロードする方法の詳細については、https://httpd.apache.org/docsを参照してください。

SUSE Multi-Linux Managerで生成されたデフォルトのSSL証明書または自己署名証明書を使用してHSTSを有効にすると、このような証明書に署名するために使用されたCAがブラウザによって信頼されていない限り、ブラウザはHTTPSでの接続を拒否します。 SUSE Multi-Linux Managerで生成されたSSL証明書を使用している場合は、http://<SERVER-HOSTNAME>/pub/RHN-ORG-TRUSTED-SSL-CERTにあるファイルをすべてのユーザのブラウザにインポートすることでこの証明書を信頼することができます。