O cabeçalho do conjunto .htaccess do servidor Apache para Content-Security-Policy causa o erro 500

Estou tentando adicionar 2 cabeçalhos ao arquivo .htaccess mas quando o site é recarregado dá um erro de servidor interno 500

O primeiro cabeçalho é:

Header set Content-Security-Policy: default-src https:

De acordo com este site , isso deve permitir que quaisquer ativos sejam carregados em https de qualquer origem.

O segundo cabeçalho é:

Permissions-Policy: geolocation=(self "https://example.com"), microphone=()

Obviamente alterando example.com para o domínio adequado, mas o mesmo site diz que isso deve funcionar, mas também causa erro interno no servidor.