Tôi có cần chứng chỉ SSL ký tự đại diện để đưa vào danh sách tải trước HSTS không?


9

Tôi muốn gửi trang web cá nhân của mình vào danh sách tải trước Chrome HSTS .

Các trang web ở đó nói:

Để được đưa vào danh sách tải trước HSTS, trang web của bạn phải:

  • Có chứng chỉ hợp lệ.
  • Chuyển hướng tất cả lưu lượng HTTP sang HTTPS - tức là chỉ HTTPS.
  • Phục vụ tất cả các tên miền phụ qua HTTPS.
  • Phục vụ tiêu đề HSTS trên miền cơ sở:
    • Hết hạn phải ít nhất mười tám tuần (10886400 giây). Mã thông báo includeSubdomains phải được chỉ định. Mã thông báo tải trước phải được chỉ định. Nếu bạn đang phục vụ chuyển hướng, chuyển hướng đó phải có tiêu đề HSTS, không phải trang mà nó chuyển hướng đến.

Điều này có nghĩa là chứng chỉ của tôi phải hợp lệ cho tất cả các tên miền phụ, hoặc chỉ chúng có sẵn / được phục vụ qua HTTPS? (Tôi có một chứng chỉ cho sub.example.com, nhưng không phải là root.)

Tôi có thể áp dụng cho danh sách tải trước HSTS với tên miền phụ sub.example.comkhông?

Câu trả lời:


5

Có phải tất cả các tên miền phụ cần sử dụng HTTPS?

Về mặt kỹ thuật, chỉ được bao gồm tên miền gốc cần sử dụng HTTPS, nhưng một khi bạn được bao gồm thì bất kỳ trang web nào trong miền gốc cần sử dụng HTTPS, nếu không, việc kết nối sẽ thất bại, vì vậy thực tế bạn sẽ muốn tất cả các tên miền phụ sử dụng HTTPS.

Tôi có thể áp dụng cho danh sách tải trước HSTS với tên miền phụ, như sub.example.com không?

Không, nếu bạn thử kiểm tra tên miền phụ, bạn sẽ nhận được cảnh báo sau

example.jrtapsell.co.uklà một tên miền phụ. Vui lòng tải trước jrtapsell.co.ukthay thế. (Do kích thước của danh sách tải trước và hành vi của cookie trên các tên miền phụ, chúng tôi chỉ chấp nhận gửi danh sách tải trước tự động của toàn bộ tên miền đã đăng ký.)

Cách kiểm tra này là thông qua danh sách hậu tố công khai, như thế này: https://publicsuffix.org/list/

Tôi có cần sử dụng chứng chỉ ký tự đại diện để đăng ký danh sách tải trước không?

Không, miễn là cấu hình SSL hợp lệ thì bạn có thể áp dụng, loại chứng chỉ không thành vấn đề.


3

Mặc dù tôi chưa từng thử nó nhưng đã đọc qua tiêu chuẩn HSTS ( RFC 6797 ), tôi diễn giải / hiểu những điều sau:

  • Nếu tên miền mẹ tuân thủ HSTS thì nó không phải nhưng có thể thực thi chính sách cho tên miền phụ cũng tuân thủ HSTS bằng cách ban hành lệnh directSubDomains trong tiêu đề STS HTTP.

  • Nếu tên miền mẹ không tuân thủ HSTS thì nó sẽ không ngăn tên miền phụ tuân thủ HSTS. Một tên miền phụ sẽ có thể hoạt động hoàn toàn với HSTS miễn là nó phát hành các tiêu đề HTTP phù hợp và hoạt động chính xác tại https://subdomain.example.com/ .


3

Không bắt buộc phải có Chứng chỉ SSL ký tự đại diện để đưa vào danh sách tải trước HSTS.

Nếu bạn có một tên miền, bạn có thể sử dụng bất kỳ Chứng chỉ SSL xác thực tên miền nào để đưa vào danh sách tải trước HSTS thay vì sử dụng Chứng chỉ SSL Wildcard.


1
Trong khi tôi nghĩ điều này là đúng, bạn có tham khảo gì để sao lưu không?
Andrew Lott

1

Cần bao gồm tất cả các tên miền phụ dưới dạng SSL để vào danh sách tải trước như được tìm thấy ở đây https://hstspreload.appspot.com/

  1. Có chứng chỉ hợp lệ.
  2. Chuyển hướng tất cả lưu lượng HTTP sang HTTPS - tức là chỉ HTTPS.
  3. Phục vụ tất cả các tên miền phụ qua HTTPS.
  4. Phục vụ tiêu đề HSTS trên miền cơ sở:
    • Hết hạn phải ít nhất mười tám tuần (10886400 giây).
    • Mã thông báo includeSubdomains phải được chỉ định.
    • Mã thông báo tải trước phải được chỉ định.
    • Nếu bạn đang phục vụ chuyển hướng, chuyển hướng đó phải có tiêu đề HSTS, không phải trang mà nó chuyển hướng đến.

Điều đó có nghĩa là bạn cần một ký tự đại diện? Không. Bạn có thể nhận được các chứng nhận SSL riêng cho từng tên miền phụ. Đây có lẽ sẽ là tuyến đường rẻ nhất. Bạn có thể chọn ký tự đại diện, nhưng cho đến khi bạn có hơn 5 tên miền phụ đáng để bảo vệ, nó không có giá trị về mặt tài chính. Dù bằng cách nào, tất cả các tên miền phụ phải ở chế độ HTTPS nếu bạn muốn được tải sẵn.

Sử dụng suy nghĩ đó, nếu bạn sử dụng tên miền phụ làm gốc, bạn sẽ phải bảo vệ tên miền phụ của tên miền đó theo cách tương tự :) Hoặc tất nhiên, ngược lại, bạn cũng không thể khai báo HSTS trên phụ mà không bảo vệ TLD nguồn gốc.


Vì vậy, để rõ ràng, tôi không thể gửi sub.example.com nếu example.com không xác thực bằng SSL.
Kevin Burke

@KevinBurke Đó là nước dùng đúng. Nó giống như mối quan hệ cha mẹ và con cái nảy ra từ TLD. Tôi không chắc chắn nếu sub.sub.example sẽ yêu cầu TLD SSL mặc dù (tôi chưa bao giờ phải HSTS một phụ trên một phụ). Tôi giả định rằng nó sẽ là một chính sách dựa trên quyền / phạm vi tên miền "gốc".
dhaupin

@KevinBurke Lưu ý: Ngoài ra, hãy đảm bảo bộ đệm HSTS của bạn là hơn 180 ngày để vượt qua Quelys / PCI và bất kỳ SSL nào bạn mua là RSA2 (56). Nếu bạn đã từng quyết định không tải trước subs, hãy đặt cache 0 trong một tuần hoặc 2 để xóa các máy khách trước khi xóa cờ tải trước.
dhaupin
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.