私は最近、私のウェブサイトの1つに「strict-transport-security」ヘッダを提供し始めました。私が予想していなかった問題は、SSL証明書がmydomain.comだけをカバーしているため、ユーザーが(以前のように)リダイレクトされるのではなくwww.mydomain.comにアクセスした場合、ブラウザによってセキュリティエラーが表示されています新しいヘッダーがhttps以外のすべての通信を禁止しているためです。HSTSを有効にした後、非セキュア接続からセキュア接続にリダイレクトすることはできますか?
私はさまざまな理由から、マルチドメイン証明書を使用しているため、新しい証明書を「www」で追加するだけでは購入できません。
私はなぜこれが期待される動作であるのか理解していますが、wwwドメインが有効な証明書を持っていないにもかかわらず、wwwがwww以外のものにリダイレクトされることがありますか?
何か違いがある場合、私のサーバはUbuntuを実行しています。
コメントに記載されているように、HSSヘッダーにincludeSubDomainsがあると、このヘッダーを持つブラウザがhttps://my.yourdomain.com(つまりHTTPS経由)にアクセスしようとすると問題が発生します。
証明書とほとんどのCAが同じ価格でこれらの2つのドメインを含める場合は、mydomain.comとwww.domain.comの両方を含めることをお勧めします。これはマルチドメイン証明書やワイルドカード証明書では機能しませんが、可能な限りどこでも実行するようにしてください。
コメントに示唆されているように、HSTSヘッダーのincludeSubDomains部分を削除しても問題はありません(maxage時間で指定されたキャッシュレスポンスが1回あります)しかし、ここには他のリスクがあります。たとえば、誰かがwwww.mydomain.com(4のw)またはsecure.mydomain.comや他の正当な見た目のサブドメインを設定し、httpsではなくhttpで配信すると、訪問者は気付かないかもしれません。さらに、サブドメインは、path属性を使用してドメインのクッキーにアクセスするか、設定することができます。これらはエッジケースであり、includeSubDomainsを使用しなくてもHSTSを使用すると、まだ大量の保護が提供されているので、includeSubDomainsがなくてもこれを含める方が良いですが、HSTSを有効にする場合は十分に有効にする方が良いでしょう。
とにかく、リスクが何であっても、何人かの人々やソフトウェアがこのドメインを試して問題を回避するため、HTTPS経由でwwwサブドメインにサービスすることをお勧めします。 HSTSかどうか、2)可能であればincludeSubDomainsを使用するのが理想的です。
詳細な説明ありがとうございます。私の特定のケースでは、私は現在、私は今サーバーの設定のために変更することはできませんマルチドメインの証明書を使用しています。当分の間、私はincludeSubDomainsを落として、私が証明書の状況を改善した後に復活させる予定です。 –
あなたのHSTSヘッダに 'includeSubDomains'属性がありますか?その場合は、削除してexample.comのHSTSポリシーがwww.example.comにも適用されないようにする必要があります。 –
@AndyBrown Aha。はい、ヘッダーは現在 'strict-transport-security:max-age = 31536000です。 includeSubDomains; 'この属性を削除するとセキュリティ上の弱点が生じますか? –
wwwサブドメインにあるすべてが安全なサイトへのリダイレクトであれば、ハッキングすることはありません。それでも私の言葉を取ってはいけません... BTWブラウザは積極的にHSTSヘッダをキャッシュしますので、あなたがあなたのものを変更した場合は、ブラウザがあなたの更新版を使用していることを確かめる必要があります。 –