HSTS önyükleme listesine eklenmek için joker karakter SSL sertifikasına ihtiyacım var mı?


9

Kişisel sitemi Chrome HSTS önyükleme listesine göndermek istiyorum .

Oradaki site diyor ki:

HSTS önyükleme listesine eklenebilmek için sitenizin:

  • Geçerli bir sertifikanız var.
  • Tüm HTTP trafiğini HTTPS'ye yönlendirin - yani yalnızca HTTPS olun.
  • Tüm alt alanları HTTPS üzerinden sunun.
  • Temel etki alanında bir HSTS üstbilgisi sunma:
    • Son kullanma tarihi en az onsekiz hafta (10886400 saniye) olmalıdır. İncludeSubdomains belirteci belirtilmelidir. Önyükleme belirteci belirtilmelidir. Bir yönlendirmeyi sunuyorsanız, bu yönlendirmenin yönlendirdiği sayfa değil HSTS üstbilgisi olmalıdır.

Bu, sertifikamın tüm alt alanlar için geçerli olması gerektiği veya yalnızca HTTPS üzerinden kullanılabildiği / sunulduğu anlamına mı geliyor? ( sub.example.comKök için değil, bir sertifikam var .)

HSTS önyükleme listesine aşağıdaki gibi bir alt alan adıyla başvurabilir miyim sub.example.com?

Yanıtlar:


5

Tüm alt alan adlarının HTTPS kullanması gerekiyor mu?

Teknik olarak, yalnızca kök etki alanının dahil edilmesi için HTTPS kullanılması gerekir, ancak bir kez dahil edildiğinde, kök etki alanı altındaki herhangi bir sitenin HTTPS kullanması gerekir, aksi takdirde bağlantı başarısız olur, bu yüzden pratik olarak tüm alt etki alanlarının HTTPS kullanmasını istersiniz.

HSTS önyükleme listesine sub.example.com gibi bir alt alan adıyla başvurabilir miyim?

Hayır, bir alt alan adını test etmeye çalışırsanız aşağıdaki uyarıyı alırsınız

example.jrtapsell.co.ukbir alt alan adıdır. Lütfen jrtapsell.co.ukbunun yerine önceden yükleyin. (Önyükleme listesinin boyutu ve çerezlerin alt alanlar arasında davranışı nedeniyle, yalnızca kayıtlı tüm alan adlarının otomatik önyükleme listesi gönderimlerini kabul ediyoruz.)

Bunun kontrol edilme şekli, şu şekilde herkese açık bir sonek listesi aracılığıyla yapılır: https://publicsuffix.org/list/

Ön yükleme listesine başvurmak için joker karakter sertifikası kullanmam gerekir mi?

Hayır, SSL yapılandırması geçerli olduğu sürece başvurabilirsiniz, sertifika türü önemli değildir.


3

Ben şahsen denemese de , HSTS standardını ( RFC 6797 ) okuduktan sonra aşağıdakileri yorumluyorum / anlıyorum:

  • Üst etki alanı HSTS uyumluysa, alt etki alanlarının da STS HTTP üstbilgisinde includeSubDomains yönergesini yayınlayarak HSTS uyumlu olma ilkesini zorunlu tutmasına gerek yoktur .

  • Üst etki alanı, değil o zaman HSTS uyumlu olmaktan bir alt alan durdurmaz uyumlu HSTS. Bir alt alan adı, uygun HTTP başlıklarını yayınlaması ve https://subdomain.example.com/ adresinde düzgün çalışması şartıyla HSTS ile tam olarak çalışabilmelidir .


3

HSTS önyükleme listesine eklenmek için joker karakterli SSL Sertifikası olması zorunlu değildir .

Tek bir etki alanınız varsa, Wildcard SSL Sertifikası kullanmak yerine HSTS önyükleme listesine dahil etmek için Etki Alanı Tarafından Doğrulanmış herhangi bir SSL Sertifikası kullanabilirsiniz.


1
Bunun doğru olduğunu düşünmeme rağmen, onu destekleyecek bir referansınız var mı?
Andrew Lott

1

Burada bulunan önyükleme listesine girmek için tüm alt alan adlarını SSL olarak eklemek gerekir https://hstspreload.appspot.com/

  1. Geçerli bir sertifikanız var.
  2. Tüm HTTP trafiğini HTTPS'ye yönlendirin - yani yalnızca HTTPS olun.
  3. Tüm alt alanları HTTPS üzerinden sunun.
  4. Temel etki alanında bir HSTS üstbilgisi sunma:
    • Son kullanma tarihi en az onsekiz hafta (10886400 saniye) olmalıdır.
    • İncludeSubdomains belirteci belirtilmelidir.
    • Önyükleme belirteci belirtilmelidir.
    • Bir yönlendirmeyi sunuyorsanız, bu yönlendirmenin yönlendirdiği sayfa değil HSTS üstbilgisi olmalıdır.

Bu bir joker karaktere ihtiyacınız olduğu anlamına mı geliyor? Hayır! Her bir alt alan adı için ayrı SSL sertifikaları alabilirsiniz. Bu muhtemelen en ucuz rota olacaktır. Joker karakter seçebilirsiniz, ancak korumaya değer 5+ alt alanınız olana kadar, finansal olarak buna değmez. Her iki durumda da, önceden yüklenmek istiyorsanız tüm alt alanların HTTPS modu olması gerekir.

Bu düşünceyi kullanarak, bir alt etki alanını kök olarak kullanırsanız, alt etki alanının alt etki alanını aynı şekilde korumanız gerekir :) Veya elbette, geriye doğru da, TLD'yi korumasız bir altta HSTS bildiremezsiniz kök.


Yani, açık olmak gerekirse, ben teslim edemedi sub.example.com eğer example.com yoktu validate SSL ile.
Kevin Burke

@KevinBurke Doğru kardeşim. TLD'den köpüren ebeveyn-çocuk ilişkisi gibi. Sub.sub.example, olsa TLD SSL gerektiriyorsa emin değilim (bir altta bir alt HSTS zorunda kaldım). Ben onun "kök" etki alanı otoritesi / kapsam dayalı bir politika olacağını varsayıyorum.
dhaupin

@KevinBurke Notlar: Ayrıca, HSTS önbelleğinizin Quelys / PCI'yı geçmek için 180+ gün olduğundan ve temin ettiğiniz SSL'nin RSA2 (56) olduğundan emin olun. Altları önceden yüklememeye karar verirseniz, önyükleme bayrağını kaldırmadan önce istemcileri temizlemek için bir hafta boyunca 0 veya 2 önbellek ayarlayın.
dhaupin
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.