Eigentlich ziemlich simpel – man muss im Vhost des Apaches nur folgenden Code hinterlegen:
Header always add Strict-Transport-Security "max-age=15768000; includeSubDomains; preload" env=HTTPS
Herausforderung bei mir war nur, dass ich meinen Server mit ispconfig steuere. Dort muss man diese Eintragung in den Apache-Direktiven vornehmen. Und gleichzeitig auch dafür sorgen, dass die Webseite nur per SSL erreichbar ist.
Der Check hier bringt nun ein A+ :-)