我最近開始在我的一個網站上爲「嚴格運輸安全」標題服務。我沒有預料到的一個問題是,我的SSL證書只覆蓋mydomain.com,所以如果用戶訪問www.mydomain.com,而不是被重定向(以前會發生),他們會看到他們的瀏覽器提供的安全錯誤這是由於新頭部不允許所有非https通信。啓用HSTS後是否可以從非安全連接重定向到安全連接?
由於各種原因,我使用的是多域名證書,因此不能簡單地購買添加了「www」的新證書。
我明白爲什麼這是預期的行爲,但我想知道是否有反正我重定向www到非www儘管www沒有一個有效的證書在www域?
如果它有什麼區別,我的服務器正在運行Ubuntu。
你在HSTS頭上有'includeSubDomains'屬性嗎?如果是這樣,刪除它應該防止example.com的HSTS策略也適用於www.example.com。 –
@AndyBrown啊哈。是的,我的頭是目前'嚴格的運輸安全:最大年齡= 31536000; includeSubDomains;」。刪除此屬性是否會造成安全漏洞? –
我會想,如果你在www子域名上的所有內容都是重定向到安全站點,那麼就沒有什麼可以破解的。儘管如此,不要聽我的話......順便說一下,BTW瀏覽器積極地緩存HSTS標題,所以如果你改變你的標題,那麼你必須確信瀏覽器正在使用你的更新版本。 –