Gostaria de enviar meu site pessoal para a lista de pré-carregamento do Chrome HSTS .
O site diz:
Para ser incluído na lista de pré-carregamento do HSTS, seu site deve:
- Tenha um certificado válido.
- Redirecione todo o tráfego HTTP para HTTPS - ou seja, seja apenas HTTPS.
- Servir todos os subdomínios por HTTPS.
- Servir um cabeçalho HSTS no domínio base:
- A validade deve ser de pelo menos dezoito semanas (10886400 segundos). O token includeSubdomains deve ser especificado. O token de pré-carregamento deve ser especificado. Se você estiver servindo um redirecionamento, esse redirecionamento deverá ter o cabeçalho HSTS, não a página para a qual ele redireciona.
Isso significa que meu certificado deve ser válido para todos os subdomínios ou apenas para que eles estejam disponíveis / atendidos por HTTPS? (Eu tenho um certificado para sub.example.com
, mas não a raiz.)
Posso me inscrever na lista de pré-carregamento do HSTS com um subdomínio, como sub.example.com
?
fonte
É necessário incluir todos os subdomínios como SSL para entrar na lista de pré-carregamento, conforme encontrado aqui https://hstspreload.appspot.com/
Isso significa que você precisa de um curinga? Não. Você pode obter certificados SSL individuais para cada subdomínio. Provavelmente seria a rota mais barata. Você pode escolher curinga, mas até ter mais de 5 subdomínios que valem a pena proteger, não vale a pena financeiramente. De qualquer forma, todos os subdomínios devem estar no modo HTTPS, se você desejar pré-carregar.
Usando esse pensamento, se você usar um subdomínio como raiz, precisará proteger o subdomínio da mesma maneira :) Ou, é claro, também ao contrário, não é possível declarar HSTS em um subdomínio sem proteger o TLD raiz.
fonte