Hallo Peter,

Header always set Strict-Transport-Security "max-age=15768000;includeSubdomains" "expr=%{HTTPS} =~ /on/"

Denn dieser Header darf vom Webserver nicht gesetzt werden, wenn die Anfrage über eine unsichere Verbindung behandelt wird.

Jain, da hast du recht. Gedacht (aber nicht geschrieben) hat der Autor vermutlich, dass man den Header im HTTPS-Vhost setzt und nicht global (beachte auch den Vorsicht!-Hinweis). Aber das sollte explizit dabei stehen, ja.

Ich bin gerade unterwegs und kann das deshalb schlecht ändern; @Matthias Apsel? @Matthias Scharwies? Könnt ihr da etwas umformulieren?

LG,
CK