<div dir="ltr"><br>On 25 August 2017 at 06:30, Tomasz Neugebauer &lt;<a href="mailto:Tomasz.Neugebauer@concordia.ca">Tomasz.Neugebauer@concordia.ca</a>&gt; wrote:<br>&gt; Thank you, Matthew!  We have HTTPS working, with the apache config, but the<br>&gt; repository allows users to access “browse/abstract” pages with HTTP as well.<br>&gt; Since we have a search box in our header, Chrome will soon start warning<br>&gt; that inputting any text on an HTTP connection is not secure.<br>&gt;<br>&gt;<br>&gt; I was looking at this Google page which recommends HSTS as well:<br>&gt; <a href="https://support.google.com/webmasters/answer/6073543?hl=en&amp;ref_topic=6001951">https://support.google.com/webmasters/answer/6073543?hl=en&amp;ref_topic=6001951</a><br>&gt;<br>&gt; I think that is what we need to implement, I’m just not sure how to do that<br>&gt; yet.<br>&gt;<br>&gt; I noticed that when I try to access a QUT ePrints page with HTTP, it<br>&gt; switches over to HTTPS, for example, going here :<br>&gt; <a href="http://eprints.qut.edu.au/view/thesis/phd/">http://eprints.qut.edu.au/view/thesis/phd/</a> , you end up<br>&gt; <a href="https://eprints.qut.edu.au/view/thesis/phd/">https://eprints.qut.edu.au/view/thesis/phd/</a><br>&gt;<br>&gt; Does that mean that QUT ePrints is supporting HSTS?<br>&gt;<br><br>Yep, if you look at the response for a HTTPS request you&#39;ll see a header like:<br><br>~~~<br>Strict-Transport-Security: max-age=2419200<br>~~~<br><br>I&#39;m not sure how other sites have their .confs organised, but we have in /etc/httpd/conf.d/ a core &#39;eprints.conf&#39; which sets up the modperl environment (PerlModule,PerlSwitches,etc.), and then repo-specific configs which we keep in version control.<br><br>The one for QUT ePrints looks like this:<br><br>~~~<br><font face="monospace, monospace"># &lt;VirtualHost :80/&gt; is generated by bin/generate_apacheconf<br>Include /opt/eprints3/cfg/apache/quteprints.conf<br><br>&lt;VirtualHost <a href="http://131.181.186.218:443"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 131.181.186.218:443</a>&gt;<br>  ServerName ...<br>  # ...etc...<br><br>  SSLCertificateFile ...</font><div><font face="monospace, monospace">  # ...etc...<br><br>  # EPrints configuration created by bin/generate_apacheconf<br>  PerlTransHandler +EPrints::Apache::Rewrite<br>  Include /opt/eprints3/cfg/apache_ssl/quteprints.conf<br><br>  # Include additional archive-specific configuration<br>  Include /opt/eprints3/archives/quteprints/cfg/apachevhost_ssl.conf<br><br>  # All future navigation to the site should be to https://<br>  # Times: 31536000 = 365 days<br>  #         2419200 = 28 days<br>  Header set Strict-Transport-Security &quot;max-age=2419200&quot;<br>&lt;/VirtualHost&gt;</font><br>~~~<br><br>It&#39;s a pretty broad stroke, but it gets it done.<br><br>HTH<br>-- <br>  Matthew Kerwin<br>  <a href="http://matthew.kerwin.net.au/">http://matthew.kerwin.net.au/</a></div></div>