HSTS 사전로드 목록에 포함 시키려면 와일드 카드 SSL 인증서가 필요합니까?

9

개인 사이트를 Chrome HSTS 사전로드 목록 에 제출하고 싶습니다 .

사이트는 다음과 같이 말합니다.

HSTS 사전로드 목록에 포함 되려면 사이트가 다음을 충족해야합니다.

  • 유효한 인증서가 있어야합니다.
  • 모든 HTTP 트래픽을 HTTPS로 리디렉션하십시오 (예 : HTTPS 만).
  • HTTPS를 통해 모든 하위 도메인을 제공합니다.
  • 기본 도메인에 HSTS 헤더를 제공하십시오.
    • 만료는 18 주 이상이어야합니다 (10886400 초). includeSubdomains 토큰을 지정해야합니다. 사전로드 토큰을 지정해야합니다. 리디렉션을 제공하는 경우 해당 리디렉션에는 리디렉션되는 페이지가 아니라 HSTS 헤더가 있어야합니다.

이것은 내 인증서가 모든 하위 도메인에 유효해야하거나 HTTPS를 통해 사용 가능 / 제공되어야한다는 의미입니까? (에 대한 인증서는 sub.example.com있지만 루트는 없습니다.)

sub.example.com? 와 같은 하위 도메인으로 HSTS 사전로드 목록에 적용 할 수 있습니까 ?

security  google-chrome  hsts 
케빈 버크
소스

답변:

5

모든 하위 도메인이 HTTPS를 사용해야합니까?

기술적으로 루트 도메인 만 포함하려면 HTTPS를 사용해야하지만 일단 포함되면 루트 도메인 아래의 모든 사이트는 HTTPS를 사용해야합니다. 그렇지 않으면 연결이 실패하므로 모든 하위 도메인에서 HTTPS를 사용하게됩니다.

sub.example.com과 같은 하위 도메인으로 HSTS 사전로드 목록에 적용 할 수 있습니까?

아니요, 하위 도메인을 테스트하려고하면 다음과 같은 경고가 표시됩니다

example.jrtapsell.co.uk하위 도메인입니다. jrtapsell.co.uk대신 미리로드하십시오 . (사전로드 목록의 크기와 하위 도메인에서의 쿠키 동작으로 인해 전체 등록 된 도메인의 자동 사전로드 목록 제출 만 허용됩니다.)

이것이 확인되는 방법은 다음과 같은 공개 접미사 목록을 사용하는 것입니다. https://publicsuffix.org/list/

사전로드 목록을 신청하려면 와일드 카드 인증서를 사용해야합니까?

SSL 구성이 유효하고 적용 할 수있는 한 인증서 유형은 중요하지 않습니다.

jrtapsell
소스
3

개인적으로 시도하지는 않았지만 HSTS 표준 ( RFC 6797 ) 을 읽은 후 다음을 해석 / 이해합니다.

  • 상위 도메인이 HSTS를 준수 하는 경우 STS HTTP 헤더에 includeSubDomains 지시문 을 실행하여 하위 도메인에 대한 정책도 HSTS를 준수하도록 강제 할 필요는 없습니다 .

  • 상위 도메인이 HSTS를 준수 하지 않으면 하위 도메인이 HSTS를 준수하지 못하게됩니다. HSTS가 적절한 HTTP 헤더를 발행하고 https://subdomain.example.com/ 에서 제대로 작동하는 경우 하위 도메인은 HSTS와 완벽하게 작동 할 수 있어야합니다 .

Richhallstoke
소스
3

HSTS 사전로드 목록에 포함시키기 위해 와일드 카드 SSL 인증서 를 반드시 가져야하는 것은 아닙니다 .

단일 도메인이있는 경우 와일드 카드 SSL 인증서를 사용하는 대신 HSTS 사전로드 목록에 포함하기 위해 도메인 유효성 검증 SSL 인증서를 사용할 수 있습니다 .

제이크 애들 리
소스
1
나는 이것이 사실이라고 생각하지만, 당신은 그것을 백업에 대한 참조가 있습니까?
Andrew Lott
1

https://hstspreload.appspot.com/에 나와있는 것처럼 사전로드 목록에 들어가려면 모든 하위 도메인을 SSL로 포함해야합니다.

  1. 유효한 인증서가 있어야합니다.
  2. 모든 HTTP 트래픽을 HTTPS로 리디렉션하십시오 (예 : HTTPS 만).
  3. HTTPS를 통해 모든 하위 도메인을 제공합니다.
  4. 기본 도메인에 HSTS 헤더를 제공하십시오.
    • 만료는 18 주 이상이어야합니다 (10886400 초).
    • includeSubdomains 토큰을 지정해야합니다.
    • 사전로드 토큰을 지정해야합니다.
    • 리디렉션을 제공하는 경우 해당 리디렉션에는 리디렉션되는 페이지가 아니라 HSTS 헤더가 있어야합니다.

와일드 카드가 필요합니까? 아니. 각 하위 도메인마다 개별 SSL 인증서를 얻을 수 있습니다. 아마도 가장 저렴한 경로 일 것입니다. 와일드 카드를 선택할 수 있지만 보호 할 가치가있는 5 개 이상의 하위 도메인이있을 때까지 재정적으로 가치가 없습니다. 어느 쪽이든 미리로드하려면 모든 하위 도메인이 HTTPS 모드 여야합니다.

그 생각을 사용하여 루트로 하위 도메인을 사용하는 경우 동일한 방식으로 하위 도메인의 하위 도메인을 보호해야합니다. 뿌리.

다우 핀
소스
그래서, 분명히, 나는 제출할 수 sub.example.com을 경우 example.com 하지 않았다 유효성 검사 SSL과 함께.
Kevin Burke
@KevinBurke 맞습니다. 그것은 부모와 자식의 관계가 TLD에서 쏟아져 나오는 것과 같습니다. sub.sub.example에 TLD SSL이 필요한지 확실하지 않습니다 (서브에서 서브를 HSTS 할 필요는 없었습니다). "루트"도메인 권한 / 범위를 기반으로 한 정책 이후로 가정합니다.
dhaupin
@KevinBurke 참고 : 또한 HSTS 캐시가 Quelys / PCI를 통과하는 데 180 일 이상이 걸리고 확보 한 SSL이 RSA2 (56)인지 확인하십시오. 서브로드를 사전로드하지 않기로 결정한 경우, 프리로드 플래그를 제거하기 전에 클라이언트를 지우려면 일주일 동안 캐시를 0 또는 2로 설정하십시오.
dhaupin
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.