ฉันต้องการที่จะส่งเว็บไซต์ส่วนตัวของฉันเข้าไปในรายชื่อพรีโหลด Chrome HSTS

เว็บไซต์ที่มีพูดว่า:

เพื่อที่จะรวมอยู่ในรายการโหลด HSTS ไซต์ของคุณจะต้อง:

• มีใบรับรองที่ถูกต้อง
• เปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ทั้งหมดไปยัง HTTPS - เช่นเป็น HTTPS เท่านั้น
• แสดงโดเมนย่อยทั้งหมดผ่าน HTTPS
• แสดงส่วนหัว HSTS ในโดเมนฐาน:
  • การหมดอายุต้องเป็นอย่างน้อยสิบแปดสัปดาห์ (1,0886400 วินาที) ต้องระบุโทเค็น includeSubdomains ต้องระบุโทเค็นพรีโหลด หากคุณให้บริการการเปลี่ยนเส้นทางการเปลี่ยนเส้นทางนั้นจะต้องมีส่วนหัว HSTS ไม่ใช่หน้าที่เปลี่ยนเส้นทางไป

นี่หมายความว่าใบรับรองของฉันจะต้องถูกต้องสำหรับโดเมนย่อยทั้งหมดหรือเฉพาะที่พวกเขามีอยู่ / ให้บริการผ่าน HTTPS (ฉันมีใบรับรองสำหรับsub.example.comแต่ไม่ใช่รูท)

ฉันสามารถใช้กับรายการพรีโหลด HSTS ที่มีโดเมนย่อยได้sub.example.comหรือไม่

โดเมนย่อยทั้งหมดจำเป็นต้องใช้ HTTPS หรือไม่

ในทางเทคนิคการรวมเฉพาะโดเมนรูตจำเป็นต้องใช้ HTTPS แต่เมื่อคุณรวมแล้วไซต์ใด ๆ ในโดเมนรูตจำเป็นต้องใช้ HTTPS มิฉะนั้นการเชื่อมต่อจะล้มเหลวดังนั้นในทางปฏิบัติคุณจะต้องการให้โดเมนย่อยทั้งหมดใช้ HTTPS

ฉันสามารถใช้กับรายการพรีโหลด HSTS ที่มีโดเมนย่อยเช่น sub.example.com ได้หรือไม่

ไม่หากคุณพยายามทดสอบโดเมนย่อยคุณจะได้รับคำเตือนดังต่อไปนี้

example.jrtapsell.co.ukเป็นโดเมนย่อย โปรดโหลดล่วงหน้าjrtapsell.co.ukแทน (เนื่องจากขนาดของรายการโหลดล่วงหน้าและพฤติกรรมของคุกกี้ในโดเมนย่อยเรายอมรับเฉพาะการส่งรายการพรีโหลดอัตโนมัติของโดเมนที่ลงทะเบียนทั้งหมด)

วิธีที่ตรวจสอบนี้ผ่านรายการส่วนต่อท้ายสาธารณะเช่นนี้: https://publicsuffix.org/list/

ฉันต้องใช้ใบรับรองไวด์การ์ดเพื่อใช้กับรายการโหลดล่วงหน้าหรือไม่

ไม่ได้ตราบใดที่การกำหนดค่า SSL นั้นถูกต้องคุณก็สามารถใช้งานได้ประเภทใบรับรองนั้นไม่สำคัญ

ในขณะที่ฉันไม่ได้ลองใช้เป็นการส่วนตัว แต่เมื่ออ่านผ่านมาตรฐาน HSTS ( RFC 6797 ) ฉันจะตีความ / เข้าใจสิ่งต่อไปนี้:

• หากโดเมนหลักเป็นไปตามมาตรฐาน HSTS ก็ไม่จำเป็นต้องมี แต่สามารถบังคับใช้นโยบายสำหรับโดเมนย่อยให้เป็นไปตามมาตรฐาน HSTS ด้วยการออกคำสั่งincludeSubDomainsในส่วนหัว STS HTTP

• หากโดเมนหลักไม่เป็นไปตามมาตรฐาน HSTS ก็จะไม่หยุดยั้งโดเมนย่อยให้เป็นไปตามมาตรฐาน HSTS โดเมนย่อยควรจะสามารถที่จะทำงานอย่างเต็มที่กับ HSTS ให้มันออกที่เหมาะสมส่วนหัว HTTP และทำงานได้อย่างถูกต้องในhttps://subdomain.example.com/

ไม่จำเป็นต้องมีใบรับรอง SSL ไวด์การ์ดสำหรับการรวมในรายการโหลดล่วงหน้า HSTS

หากคุณมีโดเมนเดียวคุณสามารถใช้ใบรับรอง SSL ที่ผ่านการตรวจสอบความถูกต้องของโดเมนใด ๆเพื่อรวมไว้ในรายการโหลดล่วงหน้า HSTS แทนที่จะใช้ Wildcard SSL Certificate

มีความจำเป็นต้องรวมโดเมนย่อยทั้งหมดเป็น SSL เพื่อเข้าสู่รายการโหลดที่พบได้ที่นี่https://hstspreload.appspot.com/

1. มีใบรับรองที่ถูกต้อง
2. เปลี่ยนเส้นทางการรับส่งข้อมูล HTTP ทั้งหมดไปยัง HTTPS - เช่นเป็น HTTPS เท่านั้น
3. แสดงโดเมนย่อยทั้งหมดผ่าน HTTPS
4. แสดงส่วนหัว HSTS ในโดเมนฐาน:
   • การหมดอายุต้องเป็นอย่างน้อยสิบแปดสัปดาห์ (1,0886400 วินาที)
   • ต้องระบุโทเค็น includeSubdomains
   • ต้องระบุโทเค็นพรีโหลด
   • หากคุณให้บริการการเปลี่ยนเส้นทางการเปลี่ยนเส้นทางนั้นจะต้องมีส่วนหัว HSTS ไม่ใช่หน้าที่เปลี่ยนเส้นทางไป

หมายความว่าคุณต้องการสัญลักษณ์แทนหรือไม่? Nope คุณสามารถรับใบรับรอง SSL แต่ละรายการสำหรับแต่ละโดเมนย่อยได้ นี่อาจเป็นเส้นทางที่ถูกที่สุด คุณสามารถเลือกไวด์การ์ดได้ แต่จนกว่าคุณจะมีโดเมนย่อยมากกว่า 5 โดเมนที่คุ้มค่าการปกป้องมันก็ไม่คุ้มกับเงิน ไม่ว่าจะด้วยวิธีใดโดเมนย่อยทั้งหมดจะต้องเป็นโหมด HTTPS หากคุณต้องการโหลดล่วงหน้า

การใช้ความคิดนั้นถ้าคุณใช้โดเมนย่อยเป็นรูทคุณจะต้องปกป้องโดเมนย่อยของโดเมนย่อยด้วยวิธีเดียวกัน :) หรือแน่นอนว่าข้างหลังเช่นกันคุณไม่สามารถประกาศ HSTS บนซับโดยไม่ปกป้อง TLD ราก.