Preciso de um certificado SSL curinga para inclusão na lista de pré-carregamento do HSTS?

9

Gostaria de enviar meu site pessoal para a lista de pré-carregamento do Chrome HSTS .

O site diz:

Para ser incluído na lista de pré-carregamento do HSTS, seu site deve:

  • Tenha um certificado válido.
  • Redirecione todo o tráfego HTTP para HTTPS - ou seja, seja apenas HTTPS.
  • Servir todos os subdomínios por HTTPS.
  • Servir um cabeçalho HSTS no domínio base:
    • A validade deve ser de pelo menos dezoito semanas (10886400 segundos). O token includeSubdomains deve ser especificado. O token de pré-carregamento deve ser especificado. Se você estiver servindo um redirecionamento, esse redirecionamento deverá ter o cabeçalho HSTS, não a página para a qual ele redireciona.

Isso significa que meu certificado deve ser válido para todos os subdomínios ou apenas para que eles estejam disponíveis / atendidos por HTTPS? (Eu tenho um certificado para sub.example.com, mas não a raiz.)

Posso me inscrever na lista de pré-carregamento do HSTS com um subdomínio, como sub.example.com?

security google-chrome hsts Kevin Burke
fonte

Respostas:

5

Todos os subdomínios precisam usar HTTPS?

Tecnicamente, para ser incluído apenas o domínio raiz precisa estar usando HTTPS, mas depois que você for incluído, qualquer site no domínio raiz precisará usar HTTPS; caso contrário, a conexão falhará; portanto, na prática, você desejará que todos os subdomínios usem HTTPS.

Posso me inscrever na lista de pré-carregamento do HSTS com um subdomínio, como sub.example.com?

Não, se você tentar testar um subdomínio, receberá o seguinte aviso

example.jrtapsell.co.uké um subdomínio. Por favor, pré- jrtapsell.co.ukcarregue. (Devido ao tamanho da lista de pré-carregamento e ao comportamento dos cookies nos subdomínios, aceitamos apenas envios automáticos da lista de pré-carregamento de domínios registrados inteiros.)

A maneira como isso é verificado é feita através de uma lista pública de sufixos, como esta: https://publicsuffix.org/list/

Preciso usar um certificado curinga para me inscrever na lista de pré-carregamento?

Não, desde que a configuração SSL seja válida, você poderá aplicar, o tipo de certificado não importa.

jrtapsell
fonte
3

Embora eu não tenha tentado pessoalmente, depois de ler o padrão HSTS ( RFC 6797 ), interpreto / entendo o seguinte:

  • Se o domínio pai for compatível com HSTS, ele não precisará, mas poderá impor a política para que os subdomínios também sejam compatíveis com HSTS emitindo a diretiva includeSubDomains no cabeçalho HTTP do STS.

  • Se o domínio pai não for compatível com HSTS, ele não impedirá que um subdomínio seja compatível com HSTS. Um subdomínio deve poder funcionar totalmente com o HSTS, desde que emita os cabeçalhos HTTP apropriados e funcione corretamente em https://subdomain.example.com/ .

richhallstoke
fonte
3

Não é obrigatório ter um certificado SSL curinga para inclusão na lista de pré-carregamento do HSTS.

Se você tiver um único domínio, poderá usar qualquer certificado SSL validado por domínio para inclusão na lista de pré-carregamento do HSTS, em vez de usar o certificado SSL curinga.

Jake Adley
fonte
11
Enquanto eu acho que isso é verdade, você tem alguma referência para fazer o backup?
Andrew Lott
1

É necessário incluir todos os subdomínios como SSL para entrar na lista de pré-carregamento, conforme encontrado aqui https://hstspreload.appspot.com/

  1. Tenha um certificado válido.
  2. Redirecione todo o tráfego HTTP para HTTPS - ou seja, seja apenas HTTPS.
  3. Servir todos os subdomínios por HTTPS.
  4. Servir um cabeçalho HSTS no domínio base:
    • A validade deve ser de pelo menos dezoito semanas (10886400 segundos).
    • O token includeSubdomains deve ser especificado.
    • O token de pré-carregamento deve ser especificado.
    • Se você estiver servindo um redirecionamento, esse redirecionamento deverá ter o cabeçalho HSTS, não a página para a qual ele redireciona.

Isso significa que você precisa de um curinga? Não. Você pode obter certificados SSL individuais para cada subdomínio. Provavelmente seria a rota mais barata. Você pode escolher curinga, mas até ter mais de 5 subdomínios que valem a pena proteger, não vale a pena financeiramente. De qualquer forma, todos os subdomínios devem estar no modo HTTPS, se você desejar pré-carregar.

Usando esse pensamento, se você usar um subdomínio como raiz, precisará proteger o subdomínio da mesma maneira :) Ou, é claro, também ao contrário, não é possível declarar HSTS em um subdomínio sem proteger o TLD raiz.

dhaupin
fonte
Portanto, para deixar claro, não poderia enviar sub.example.com se example.com não validasse com SSL.
Kevin Burke
@KevinBurke Isso é brotha correto. É como um relacionamento entre pais e filhos saindo do TLD. No entanto, não tenho certeza se o sub.sub.example exigiria SSL do TLD (nunca tive que colocar um sub HSTS em um sub). Estou assumindo que seria uma política baseada na autoridade / escopo do domínio "raiz".
dhaupin
@KevinBurke Notas: Verifique também se o seu cache HSTS tem mais de 180 dias para passar no Quelys / PCI e se qualquer SSL que você compra é RSA2 (56). Se você decidir não pré-carregar subs, defina um cache de 0 por uma semana ou 2 para limpar os clientes antes de remover o sinalizador de pré-carregamento.
dhaupin