Saya ingin mengirimkan situs pribadi saya ke daftar pramuat Chrome HSTS .

Situs di sana mengatakan:

Untuk dimasukkan dalam daftar preload HSTS, situs Anda harus:

• Memiliki sertifikat yang valid.
• Alihkan semua lalu lintas HTTP ke HTTPS - yaitu hanya HTTPS.
• Sajikan semua subdomain melalui HTTPS.
• Sajikan tajuk HSTS pada domain basis:
  • Kadaluwarsa harus setidaknya delapan belas minggu (10886400 detik). Token includeSubdomains harus ditentukan. Token preload harus ditentukan. Jika Anda melayani pengalihan, pengalihan itu harus memiliki header HSTS, bukan halaman yang dialihkan.

Apakah ini berarti sertifikat saya harus valid untuk semua subdomain, atau hanya bahwa mereka tersedia / dilayani melalui HTTPS? (Saya memiliki sertifikat untuk sub.example.com, tetapi bukan root.)

Dapatkah saya menerapkan daftar preload HSTS dengan subdomain sub.example.com?

Apakah semua subdomain perlu menggunakan HTTPS?

Secara teknis, untuk dimasukkan hanya domain root yang perlu menggunakan HTTPS, tetapi begitu Anda dimasukkan maka setiap situs di bawah domain root perlu menggunakan HTTPS, jika tidak maka koneksi akan gagal, jadi praktis Anda ingin semua subdomain menggunakan HTTPS.

Dapatkah saya menerapkan daftar preload HSTS dengan subdomain, seperti sub.example.com?

Tidak, jika Anda mencoba menguji subdomain Anda akan mendapatkan peringatan berikut

example.jrtapsell.co.ukadalah subdomain. Silakan pramuat jrtapsell.co.uksaja. (Karena ukuran daftar preload dan perilaku cookie di seluruh subdomain, kami hanya menerima pengiriman daftar preload otomatis dari seluruh domain terdaftar.)

Cara ini diperiksa adalah melalui daftar sufiks publik, seperti ini: https://publicsuffix.org/list/

Apakah saya perlu menggunakan sertifikat wildcard untuk mengajukan daftar preload?

Tidak, selama konfigurasi SSL valid maka Anda dapat menerapkan, jenis sertifikat tidak masalah.

Walaupun saya belum mencobanya secara pribadi, setelah membaca standar HSTS ( RFC 6797 ) saya menafsirkan / memahami yang berikut:

• Jika domain induk adalah HSTS compliant maka tidak harus tetapi dapat memberlakukan kebijakan untuk subdomain juga menjadi HSTS compliant dengan mengeluarkan direktif includeSubDomains di header STS HTTP.

• Jika domain induk tidak sesuai dengan HSTS, maka itu tidak akan menghentikan sub-domain dari yang mematuhi HSTS. Subdomain harus dapat bekerja sepenuhnya dengan HSTS asalkan menerbitkan header HTTP yang sesuai dan berfungsi dengan baik di https://subdomain.example.com/ .

Tidak wajib memiliki Sertifikat SSL wildcard untuk dimasukkan dalam daftar preload HSTS.

Jika Anda memiliki satu domain, Anda dapat menggunakan Sertifikat SSL yang Divalidasi Domain untuk dimasukkan dalam daftar preload HSTS daripada menggunakan Wildcard SSL Certificate.

Penting untuk memasukkan semua subdomain sebagai SSL untuk masuk ke daftar preload seperti yang ditemukan di sini https://hstspreload.appspot.com/

1. Memiliki sertifikat yang valid.
2. Alihkan semua lalu lintas HTTP ke HTTPS - yaitu hanya HTTPS.
3. Sajikan semua subdomain melalui HTTPS.
4. Sajikan tajuk HSTS pada domain basis:
   • Kadaluwarsa harus setidaknya delapan belas minggu (10886400 detik).
   • Token includeSubdomains harus ditentukan.
   • Token preload harus ditentukan.
   • Jika Anda melayani pengalihan, pengalihan itu harus memiliki header HSTS, bukan halaman yang dialihkan.

Apakah itu berarti Anda memerlukan wildcard? Nggak. Anda bisa mendapatkan sertifikat SSL terpisah untuk setiap subdomain. Ini mungkin rute termurah. Anda dapat memilih wildcard, tetapi sampai Anda memiliki 5+ subdomain yang layak dilindungi, tidak layak secara finansial. Either way, semua subdomain harus mode HTTPS jika Anda ingin dimuat.

Menggunakan pemikiran itu, jika Anda menggunakan subdomain sebagai root, Anda harus melindungi subdomain subdomain dengan cara yang sama :) Atau tentu saja, mundur juga, Anda tidak dapat mendeklarasikan HSTS pada sub tanpa melindungi TLD akar.