私は最近、私のウェブサイトの1つに「strict-transport-security」ヘッダを提供し始めました。私が予想していなかった問題は、SSL証明書がmydomain.comだけをカバーしているため、ユーザーが(以前のように)リダイレクトされるのではなくwww.mydomain.comにアクセスした場合、ブラウザによってセキュリティエラーが表示されています新しいヘッダーがhttps以外のすべての通信を禁止しているためです。HSTSを有効にした後、非セキュア接続からセキュア接続にリダイレクトすることはできますか?
私はさまざまな理由から、マルチドメイン証明書を使用しているため、新しい証明書を「www」で追加するだけでは購入できません。
私はなぜこれが期待される動作であるのか理解していますが、wwwドメインが有効な証明書を持っていないにもかかわらず、wwwがwww以外のものにリダイレクトされることがありますか?
何か違いがある場合、私のサーバはUbuntuを実行しています。
あなたのHSTSヘッダに 'includeSubDomains'属性がありますか?その場合は、削除してexample.comのHSTSポリシーがwww.example.comにも適用されないようにする必要があります。 –
@AndyBrown Aha。はい、ヘッダーは現在 'strict-transport-security:max-age = 31536000です。 includeSubDomains; 'この属性を削除するとセキュリティ上の弱点が生じますか? –
wwwサブドメインにあるすべてが安全なサイトへのリダイレクトであれば、ハッキングすることはありません。それでも私の言葉を取ってはいけません... BTWブラウザは積極的にHSTSヘッダをキャッシュしますので、あなたがあなたのものを変更した場合は、ブラウザがあなたの更新版を使用していることを確かめる必要があります。 –