Ich habe eine Website namens www.foo.com und eine zugehörige Entwicklungssite namens dev.foo.com. Mein SSL-Zertifikat deckt nur www.foo.com ab. So sehen die beiden Adressen wie folgt aus:Ca n Ich benutze die includeSubDomains-Option für den HSTS-Header
https: www.foo.com
Kann ich die includeSubDomains Option für die HSTS wie dieser Header:
Strict-Transport-Security: max-age=10886400; includeSubDomains; preload
Oder bedeutet das, dass dev.foo.com auch sicher sein muss?
Ich befürchtete so viel. – Richard