¿Necesito un certificado SSL comodín para incluirlo en la lista de precarga de HSTS?

9

Me gustaría enviar mi sitio personal a la lista de precarga de Chrome HSTS .

El sitio allí dice:

Para ser incluido en la lista de precarga de HSTS, su sitio debe:

  • Tener un certificado válido
  • Redireccione todo el tráfico HTTP a HTTPS, es decir, sea solo HTTPS.
  • Servir todos los subdominios a través de HTTPS.
  • Servir un encabezado HSTS en el dominio base:
    • La caducidad debe ser de al menos dieciocho semanas (10886400 segundos). Se debe especificar el token includeSubdomains. Se debe especificar el token de precarga. Si está sirviendo una redirección, esa redirección debe tener el encabezado HSTS, no la página a la que redirige.

¿Significa esto que mi certificado debe ser válido para todos los subdominios, o solo que están disponibles / servidos a través de HTTPS? (Tengo un certificado sub.example.com, pero no la raíz).

¿Puedo aplicar a la lista de precarga de HSTS con un subdominio, como sub.example.com?

security google-chrome hsts Kevin Burke
fuente

Respuestas:

5

¿Todos los subdominios necesitan usar HTTPS?

Técnicamente, para que se incluya solo el dominio raíz debe usar HTTPS, pero una vez que se incluye, cualquier sitio bajo el dominio raíz debe usar HTTPS; de lo contrario, la conexión fallará, por lo que prácticamente querrá que todos los subdominios usen HTTPS.

¿Puedo aplicar a la lista de precarga de HSTS con un subdominio, como sub.ejemplo.com?

No, si intenta probar un subdominio, recibirá la siguiente advertencia

example.jrtapsell.co.ukes un subdominio Por favor precarga en su jrtapsell.co.uklugar. (Debido al tamaño de la lista de precarga y al comportamiento de las cookies en todos los subdominios, solo aceptamos envíos automáticos de listas de precarga de dominios registrados completos).

La forma en que se verifica esto es a través de una lista de sufijos públicos, como esta: https://publicsuffix.org/list/

¿Necesito usar un certificado comodín para solicitar la lista de precarga?

No, siempre que la configuración SSL sea válida, puede solicitarla, el tipo de certificado no importa.

jrtapsell
fuente
3

Si bien no lo he probado personalmente, después de leer el estándar HSTS ( RFC 6797 ), interpreto / entiendo lo siguiente:

  • Si el dominio principal es compatible con HSTS, entonces no tiene que hacerlo, pero puede hacer cumplir la política para que los subdominios también sean compatibles con HSTS emitiendo la directiva includeSubDomains en el encabezado STS HTTP.

  • Si el dominio principal no es compatible con HSTS, entonces no impediría que un subdominio sea compatible con HSTS. Un subdominio debería poder funcionar completamente con HSTS, siempre que emita los encabezados HTTP apropiados y funcione correctamente en https://subdomain.example.com/ .

richhallstoke
fuente
3

No es obligatorio tener un Certificado SSL comodín para la inclusión en la lista de precarga de HSTS.

Si tiene un solo dominio, puede usar cualquier Certificado SSL validado de dominio para la inclusión en la lista de precarga de HSTS en lugar de usar el Certificado SSL comodín.

Jake Adley
fuente
1
Si bien creo que esto es cierto, ¿tiene alguna referencia para respaldarlo?
Andrew Lott
1

Es necesario incluir todos los subdominios como SSL para ingresar a la lista de precarga como se encuentra aquí https://hstspreload.appspot.com/

  1. Tener un certificado válido
  2. Redireccione todo el tráfico HTTP a HTTPS, es decir, sea solo HTTPS.
  3. Servir todos los subdominios a través de HTTPS.
  4. Servir un encabezado HSTS en el dominio base:
    • La caducidad debe ser de al menos dieciocho semanas (10886400 segundos).
    • Se debe especificar el token includeSubdomains.
    • Se debe especificar el token de precarga.
    • Si está sirviendo una redirección, esa redirección debe tener el encabezado HSTS, no la página a la que redirige.

¿Eso significa que necesitas un comodín? No Puede obtener certificados SSL individuales para cada subdominio. Probablemente esta sea la ruta más barata. Puede elegir comodines, pero hasta que tenga más de 5 subdominios que valga la pena proteger, no vale la pena económicamente. De cualquier manera, todos los subdominios deben estar en modo HTTPS si desea que se cargue previamente.

Usando ese pensamiento, si usa un subdominio como raíz, tendría que proteger el subdominio del subdominio de la misma manera :) O, por supuesto, al revés, no puede declarar HSTS en un sub sin proteger el TLD raíz.

dhaupin
fuente
Por lo tanto, para ser claros, no podría enviar sub.example.com si example.com no validado con SSL.
Kevin Burke
@KevinBurke Eso es correcto brotha. Es como una relación de padres a hijos que brota de TLD. Sin embargo, no estoy seguro de si el subejemplo requeriría TLD SSL (nunca he tenido que HSTS un sub en un sub). Supongo que lo haría, ya que es una política basada en la autoridad / alcance del dominio "raíz".
dhaupin
@KevinBurke Notas: también asegúrese de que su caché HSTS tenga más de 180 días para pasar Quelys / PCI y que cualquier SSL que adquiera sea RSA2 (56). Si alguna vez decide no precargar los subs, establezca un caché de 0 durante una semana o 2 para borrar los clientes antes de eliminar el indicador de precarga.
dhaupin