Benötige ich ein Platzhalter-SSL-Zertifikat für die Aufnahme in die HSTS-Preload-Liste?

9

Ich möchte meine persönliche Website in die Preload-Liste von Chrome HSTS aufnehmen .

Die Seite dort sagt:

Um in die HSTS-Preload-Liste aufgenommen zu werden, muss Ihre Site:

  • Haben Sie ein gültiges Zertifikat.
  • Leiten Sie den gesamten HTTP-Verkehr zu HTTPS um, dh nur HTTPS.
  • Stellen Sie alle Subdomains über HTTPS bereit.
  • Stellen Sie einen HSTS-Header in der Basisdomäne bereit:
    • Der Ablauf muss mindestens achtzehn Wochen (10886400 Sekunden) betragen. Das includeSubdomains-Token muss angegeben werden. Das Preload-Token muss angegeben werden. Wenn Sie eine Umleitung bereitstellen, muss diese Umleitung den HSTS-Header und nicht die Seite enthalten, auf die sie umgeleitet wird.

Bedeutet dies, dass mein Zertifikat für alle Subdomains gültig sein muss oder nur, dass sie über HTTPS verfügbar sind / bereitgestellt werden? (Ich habe ein Zertifikat für sub.example.com, aber nicht die Wurzel.)

Kann ich mich mit einer Subdomain auf die HSTS-Preload-Liste bewerben sub.example.com?

security google-chrome hsts Kevin Burke
quelle

Antworten:

5

Müssen alle Subdomains HTTPS verwenden?

Technisch gesehen muss nur die Stammdomäne HTTPS verwenden, um aufgenommen zu werden. Sobald Sie jedoch aufgenommen werden, müssen alle Websites unter der Stammdomäne HTTPS verwenden. Andernfalls schlägt die Verbindung fehl. Praktisch möchten Sie, dass alle Subdomänen HTTPS verwenden.

Kann ich mich mit einer Subdomain wie sub.example.com auf die HSTS-Preload-Liste bewerben?

Nein, wenn Sie versuchen, eine Subdomain zu testen, wird die folgende Warnung angezeigt

example.jrtapsell.co.ukist eine Subdomain. Bitte laden Sie jrtapsell.co.ukstattdessen vor. (Aufgrund der Größe der Preload-Liste und des Verhaltens von Cookies über Subdomains hinweg akzeptieren wir nur das automatische Senden von Preload-Listen ganzer registrierter Domains.)

Die Art und Weise, wie dies überprüft wird, erfolgt über eine öffentliche Suffixliste wie diese: https://publicsuffix.org/list/

Muss ich ein Platzhalterzertifikat verwenden, um die Preload-Liste zu beantragen?

Nein, solange die SSL-Konfiguration gültig ist, können Sie sich bewerben. Der Zertifikatstyp spielt keine Rolle.

jrtapsell
quelle
3

Obwohl ich es nicht persönlich ausprobiert habe, interpretiere / verstehe ich Folgendes , nachdem ich den HSTS-Standard ( RFC 6797 ) gelesen habe :

  • Wenn die übergeordnete Domäne HSTS-kompatibel ist, muss sie keine Richtlinie erzwingen, damit Subdomänen auch HSTS-kompatibel sind, indem sie die Anweisung includeSubDomains im STS-HTTP-Header ausgibt.

  • Wenn die übergeordnete Domäne nicht HSTS-kompatibel ist, würde dies nicht verhindern, dass eine Unterdomäne HSTS-kompatibel ist. Eine Subdomain sollte in der Lage sein, vollständig mit HSTS zu arbeiten, vorausgesetzt, sie gibt die entsprechenden HTTP-Header aus und funktioniert ordnungsgemäß unter https://subdomain.example.com/ .

Richhallstoke
quelle
3

Für die Aufnahme in die HSTS-Preload-Liste ist kein Platzhalter-SSL-Zertifikat erforderlich .

Wenn Sie über eine einzelne Domain verfügen, können Sie ein beliebiges domänenvalidiertes SSL- Zertifikat für die Aufnahme in die HSTS-Preload-Liste verwenden, anstatt ein Wildcard-SSL-Zertifikat zu verwenden.

Jake Adley
quelle
1
Während ich denke, dass dies wahr ist, haben Sie einen Hinweis, um es zu sichern?
Andrew Lott
1

Es ist erforderlich, alle Subdomains als SSL einzuschließen, um in die Preload-Liste zu gelangen, die hier zu finden ist: https://hstspreload.appspot.com/

  1. Haben Sie ein gültiges Zertifikat.
  2. Leiten Sie den gesamten HTTP-Verkehr zu HTTPS um, dh nur HTTPS.
  3. Stellen Sie alle Subdomains über HTTPS bereit.
  4. Stellen Sie einen HSTS-Header in der Basisdomäne bereit:
    • Der Ablauf muss mindestens achtzehn Wochen (10886400 Sekunden) betragen.
    • Das includeSubdomains-Token muss angegeben werden.
    • Das Preload-Token muss angegeben werden.
    • Wenn Sie eine Umleitung bereitstellen, muss diese Umleitung den HSTS-Header und nicht die Seite enthalten, auf die sie umgeleitet wird.

Bedeutet das, dass Sie einen Platzhalter benötigen? Nee. Sie können für jede Subdomain individuelle SSL-Zertifikate erhalten. Dies wäre wahrscheinlich die billigste Route. Sie können Wildcard wählen, aber bis Sie mehr als 5 Subdomains haben, die es wert sind, geschützt zu werden, ist es finanziell nicht wert. In jedem Fall müssen alle Subdomains im HTTPS-Modus sein, wenn Sie vorinstalliert werden möchten.

Wenn Sie diesen Gedanken verwenden und eine Subdomain als Root verwenden, müssten Sie die Subdomain der Subdomain auf die gleiche Weise schützen :) Oder natürlich können Sie HSTS auch nicht rückwärts auf einem Sub deklarieren, ohne die TLD zu schützen Wurzel.

Dhaupin
quelle
Um klar zu sein, konnte ich sub.example.com nicht senden, wenn example.com nicht mit SSL validiert wurde.
Kevin Burke
@ KevinBurke Das ist richtig brotha. Es ist wie eine Eltern-Kind-Beziehung, die aus der TLD heraussprudelt. Ich bin mir nicht sicher, ob sub_example TLD SSL erfordern würde (ich musste noch nie ein Sub auf einem Sub HSTS). Ich gehe davon aus, dass dies der Fall ist, da es sich um eine Richtlinie handelt, die auf der Autorität / dem Umfang der "Root" -Domäne basiert.
Dhaupin
@ KevinBurke Hinweise: Stellen Sie außerdem sicher, dass Ihr HSTS-Cache mehr als 180 Tage benötigt, um Quelys / PCI zu übergeben, und dass jedes von Ihnen beschaffte SSL RSA2 ist (56). Wenn Sie sich jemals dafür entscheiden, Subs nicht vorzuladen, setzen Sie einen Cache von 0 für eine Woche oder 2, um Clients zu löschen, bevor Sie das Preload-Flag entfernen.
Dhaupin