Ho bisogno di un certificato SSL jolly per l'inclusione nell'elenco di precaricamento HSTS?

9

Vorrei inviare il mio sito personale all'elenco di precaricamento di Chrome HSTS .

Il sito lì dice:

Per essere incluso nell'elenco di precaricamento HSTS, il tuo sito deve:

  • Avere un certificato valido
  • Reindirizzare tutto il traffico HTTP su HTTPS, ovvero essere solo HTTPS.
  • Servi tutti i sottodomini su HTTPS.
  • Serve un'intestazione HSTS sul dominio di base:
    • La scadenza deve essere di almeno diciotto settimane (10886400 secondi). Il token includeSubdomains deve essere specificato. Il token di precarico deve essere specificato. Se stai offrendo un reindirizzamento, quel reindirizzamento deve avere l'intestazione HSTS, non la pagina a cui reindirizza.

Questo significa che il mio certificato deve essere valido per tutti i sottodomini o solo che sono disponibili / offerti su HTTPS? (Ho un certificato per sub.example.com, ma non il root.)

Posso applicare all'elenco di precaricamento HSTS con un sottodominio, come sub.example.com?

security  google-chrome  hsts 
Kevin Burke
fonte

Risposte:

5

Tutti i sottodomini devono utilizzare HTTPS?

Tecnicamente, per essere incluso solo il dominio principale deve utilizzare HTTPS, ma una volta incluso, tutti i siti sotto il dominio principale devono utilizzare HTTPS, altrimenti la connessione fallirà, quindi praticamente vorrai che tutti i sottodomini utilizzino HTTPS.

Posso applicare all'elenco di precaricamento HSTS con un sottodominio, come sub.example.com?

No, se provi a testare un sottodominio riceverai il seguente avviso

example.jrtapsell.co.ukè un sottodominio. Si prega di precaricare jrtapsell.co.ukinvece. (A causa delle dimensioni dell'elenco di precaricamento e del comportamento dei cookie nei sottodomini, accettiamo solo invii di elenchi di precarichi automatici di interi domini registrati.)

Il modo in cui viene controllato è tramite un elenco di suffissi pubblici, come questo: https://publicsuffix.org/list/

Devo utilizzare un certificato con caratteri jolly per richiedere l'elenco di precaricamento?

No, finché la configurazione SSL è valida, è possibile applicare, il tipo di certificato non ha importanza.

jrtapsell
fonte
3

Anche se non l'ho provato personalmente, avendo letto lo standard HSTS ( RFC 6797 ) interpreto / capisco quanto segue:

  • Se il dominio padre è conforme a HSTS, non è necessario, ma può imporre che i criteri per i sottodomini siano conformi anche a HSTS emettendo la direttiva includeSubDomains nell'intestazione HTTP STS.

  • Se il dominio padre non è conforme a HSTS, non impedirebbe a un sottodominio di essere conforme a HSTS. Un sottodominio dovrebbe essere in grado di funzionare pienamente con HSTS a condizione che emetta le intestazioni HTTP appropriate e funzioni correttamente su https://subdomain.example.com/ .

richhallstoke
fonte
3

Non è obbligatorio disporre di un certificato SSL jolly per l'inclusione nell'elenco di precaricamento HSTS.

Se si dispone di un singolo dominio, è possibile utilizzare qualsiasi certificato SSL convalidato dal dominio per l'inclusione nell'elenco di precaricamento HSTS anziché utilizzare il certificato SSL Wildcard.

Jake Adley
fonte
1
Mentre penso che questo sia vero, hai qualche riferimento per eseguirne il backup?
Andrew Lott,
1

È necessario includere tutti i sottodomini come SSL per accedere all'elenco dei precarichi come riportato qui https://hstspreload.appspot.com/

  1. Avere un certificato valido
  2. Reindirizzare tutto il traffico HTTP su HTTPS, ovvero essere solo HTTPS.
  3. Servi tutti i sottodomini su HTTPS.
  4. Serve un'intestazione HSTS sul dominio di base:
    • La scadenza deve essere di almeno diciotto settimane (10886400 secondi).
    • Il token includeSubdomains deve essere specificato.
    • Il token di precarico deve essere specificato.
    • Se stai offrendo un reindirizzamento, quel reindirizzamento deve avere l'intestazione HSTS, non la pagina a cui reindirizza.

Significa che hai bisogno di un carattere jolly? No. Puoi ottenere certificati SSL individuali per ciascun sottodominio. Questo sarebbe probabilmente il percorso più economico. Puoi scegliere il carattere jolly, ma fino a quando non avrai 5+ sottodomini che vale la pena proteggere, non ne vale la pena finanziariamente. In entrambi i casi, tutti i sottodomini devono essere in modalità HTTPS se si desidera essere precaricati.

Usando questo pensiero, se usi un sottodominio come root, dovresti proteggere il sottodominio del sottodominio allo stesso modo :) O ovviamente, anche al contrario, non puoi dichiarare HSTS su un sub senza proteggere il TLD radice.

dhaupin
fonte
Quindi, per essere chiari, non avrei potuto inviare sub.example.com se example.com non fosse stato validato con SSL.
Kevin Burke,
@KevinBurke Questo è il brodo corretto. È come una relazione genitore-figlio che fuoriesce da TLD. Non sono sicuro se sub.sub.example richiederebbe TLD SSL (non ho mai dovuto HSTS un sub su un sub). Suppongo che sarebbe una politica basata sull'autorità / ambito di dominio "root".
Dhaupin,
@KevinBurke Note: assicurati inoltre che la cache HSTS abbia oltre 180 giorni per passare Quelys / PCI e che qualsiasi SSL che procuri sia RSA2 (56). Se decidi di non precaricare i sottotitoli, imposta una cache di 0 per una settimana o 2 per cancellare i client prima di rimuovere il flag di precaricamento.
Dhaupin,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.