Probleme nach wechsel auf NGINX

Hallo,
ich habe einen wechsel von ISPConfig + Apache auf ISPConfig + nginx durchgeführt.

Ich bilde mir ein das der vServer mit der änderung nicht mehr so hackelig läuft wie es vorher der fall war, das ich beim Sitenbenchmark test vereinzelt über 5 Sekunden ladezeit hatte. Nun sagt der Benchmark meistens Zeiten von unter einer Sekunde. Seltenst unter zwei sekunden.

Ich habe nun allerdings zwei Probleme wie ich feststelle

1. Ich habe gerade versucht die Owncloud wieder einzuspielen und erhalte im Admin bereich einige Fehlermeldungen.
   
   Ihr Webserver ist noch nicht hinreichend für Datei-Synchronisation konfiguriert, weil die WebDAV-Schnittstelle vermutlich defekt ist.
   Manche Dateien haben die Integritätsprüfung nicht bestanden. Weitere Informationen um den Fehler zu behen finden Sie in unserer Dokumentation. (Liste der ungültigen Dateien... / Erneut scannen…)
   Ihr Datenverzeichnis und Ihre Dateien sind wahrscheinlich vom Internet aus erreichbar. Die .htaccess-Datei funktioniert nicht. Es wird dringend empfohlen, Ihren Webserver dahingehend zu konfigurieren, dass das Datenverzeichnis nicht mehr vom Internet aus erreichbar ist oder dass Sie es aus dem Document-Root-Verzeichnis des Webservers herausverschieben.
   
   Der „Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens „15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in unseren Sicherheitshinweisen erläutert ist.
   
   
   Dieses soll man angeblich mit den Richtigen Direktiven lösen können. Ich verstehe aber in dieser Hinsicht nur Bahnhof. Wie würden die denn richtig lauten?
2. Wenn ich versuche auf einer Webseite Drupal zu installieren kommt nach kurzer Zeit die Fehlerseite 504 Gateway Timeout. Angeblich soll das mit einer Timout Zeit für die PHP Abfrage zusammenhängen? Wie oder was muss man bei den Direktiven für nginx bei ISPConfig eintragen?
   
   

Mit WebDAV hab ich quasi keine Erfahrung, aber eigentlich sollte die Anleitung [Link: Registrierung erforderlich] ganz gut helfen - eben auch dann, wenn die beiden fehlenden Methoden benötigt werden (scheint in den meisten Anleitungen zu fehlen, wie wichtig die sind keine Ahnung, wie sagt keine Erfahrung mit WebDAV).

Klar, ne htaccess-Datei gibts für nginx nicht. Einfach nen entsprechenden location-Block mit "deny all;" hinzufügen, sollte den Zugriff über nginx auf das Datenverzeichnis verhindern. Alternativ und imho sinnvoller wäre es natürlich, wenn das Datenverzeichnis gar nicht erst im Document Root wäre.

Halte ich jetzt nicht für zwangsläufig nötig, solange du Owncloud nur für dich nutzt und zumindest in externen Netzwerken darauf achtest, dass du auch wirklich ne HTTPS-Verbindung nutzt. Aber an und für sich ist HSTS ganz klar ein Plus an Sicherheit, weil es verhindert, dass in dem Zeitraum der im entsprechenden Header angegeben ist, eine unverschlüsselte Verbindung über die Domain aufgerufen wird*.

Dafür fügen wir einfach den Header mit der Direktive "add_header Strict-Transport-Security max-age={Anzahl der Sekunden};" in den entsprechenden Serverblock (vHost) ein und er wird entsprechend von nginx ausgeliefert.

* rufe ich also unbedingt-verschlüsselt-weil-fucking-wichtig.de Im Browser auf und werde zu erst auf die HTTP-Verbindung geleitet durch den Browser, weil er ohne Protokollangabe von http ausgeht, und dann eigentlich weitergeleitet auf [Link: Registrierung erforderlich]-verschlüsselt-weil-fucking-wichtig.de kann es natürlich passieren, dass ein Man-In-The-Middle-Angriff die Weiterleitung auf HTTPS verhindert und dann wie ein normaler MITM-Angriff meine Daten ausgespäht werden, wenn ich nicht aufpasse, dass die Verbindung verschlüsselt ist - gerade unbedarften Usern dürfte das oft passieren, aber sind wir ganz ehrlich: Gucken wir wirklich jedes mal nach ob eine wichtige Verbindung wirklich verschlüsselt ist? Wahrscheinlich nicht... Mit HSTS ist ein deartiger Angriff nicht möglich, weil der Browser dann sagt: "Nope, leck mich, ich darf von der Domain nur HTTPS-Verbindungen annehmen." (Vorraussetzung ist, dass die Webseite einmal ohne MITM per HTTPS mit entsprechendem HSTS-Header aufgerufen worden ist in dem Browser.)

Falls irgendwas nicht stimmt schonmal sorry, ich benutze nginx selber nicht soooo oft, weil es z.B. im Webspace-Bereich bei Kunden meist nicht so cool ankommt, wenn sie z.B. .htaccess-Dateien umschreiben müssten.