Ca \ n Ich benutze die includeSubDomains-Option für den HSTS-Header

Ich habe eine Website namens www.foo.com und eine zugehörige Entwicklungssite namens dev.foo.com. Mein SSL-Zertifikat deckt nur www.foo.com ab. So sehen die beiden Adressen wie folgt aus:Ca n Ich benutze die includeSubDomains-Option für den HSTS-Header

http://dev.foo.com

https: www.foo.com

Kann ich die includeSubDomains Option für die HSTS wie dieser Header:

Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

Oder bedeutet das, dass dev.foo.com auch sicher sein muss?

Quelle

2017-01-11 Richard

Leider gilt die Option includeSubDomains für "foo.com" sowohl für "dev.foo.com" als auch für "www.foo.com". Wenn Sie also die Option includeSubDomains verwenden möchten, dev.foo.com muss auch sicher sein, sonst wird ein Webbrowser einen unausweichlichen HSTS-Fehler auftauchen.

Quelle

2017-01-11 11:19:24

Ich befürchtete so viel. – Richard

Ca \ n Ich benutze die includeSubDomains-Option für den HSTS-Header

Antwort

Verwandte Themen