Tjark Saul

Ein nerd über die Welt

.htaccess für HTTPS Redirect auf andere Domain

Wie vielleicht schon aus dem vorigen Beitrag ersichtlich ist, wollte ich für dieses Blog HTTPS aktivieren und auch als Standard einrichten. Dafür habe ich mir zum einen bei StartSSL ein SSL-Zertifikat für lau besorgt und anschließend eine .htaccess mit folgenden Einträgen angelegt:

RewriteEngine On # Damit ich rewrites nutzen kenn
RewriteCond %{SERVER_PORT} !^443$ [OR] # entweder ist der Port nicht 443, also kein HTTPS
RewriteCond %{HTTP_HOST} !^tjarksaul\.de # oder der Host ist ein anderer als tjarksaul.de (oder beides)
RewriteRule (.*) https://tjarksaul.de/$1 [L] # also leiten wir auf https://tjarksaul.de/... weiter

Header add Strict-Transport-Security: "max-age=15768000" # HSTS

Dies ist natürlich speziell angepasst, weil ich hier sehr viele Domains nutze, aber die Haupt-Domain tjarksaul.de ist.

Außerdem aktiviere ich noch HSTS, das bei einem erfolgreichen Aufbau dafür sorgt, dass jeder Request in etwa den nächsten 6 Monaten automatisch über HTTPS kommt, auch wenn ein Angreifer die Weiterleitung herausschneidet.