क्या मुझे HSTS प्रीलोड सूची में शामिल करने के लिए वाइल्डकार्ड SSL प्रमाणपत्र की आवश्यकता है?

9

मैं अपनी व्यक्तिगत साइट को क्रोम एचएसटीएस प्रीलोड सूची में प्रस्तुत करना चाहता हूं ।

वहाँ की साइट कहती है:

HSTS प्रीलोड सूची में शामिल किए जाने के लिए, आपकी साइट को यह करना होगा:

  • वैध प्रमाण पत्र हो।
  • सभी HTTP ट्रैफ़िक को HTTPS पर पुनर्निर्देशित करें - अर्थात केवल HTTPS बनें।
  • HTTPS पर सभी उप-डोमेन परोसें।
  • बेस डोमेन पर एक HSTS हेडर परोसें:
    • एक्सपायरी कम से कम अठारह सप्ताह (10886400 सेकंड) होनी चाहिए। शामिल करने योग्य टोकन निर्दिष्ट किया जाना चाहिए। प्रीलोड टोकन निर्दिष्ट किया जाना चाहिए। यदि आप एक रीडायरेक्ट परोस रहे हैं, तो उस रीडायरेक्ट में HSTS हेडर होना चाहिए, न कि वह पेज जिसे वह रीडायरेक्ट करता है।

क्या इसका मतलब यह है कि मेरा प्रमाण पत्र सभी उप-डोमेन के लिए मान्य होना चाहिए, या केवल वे HTTPS पर उपलब्ध / सेवा कर रहे हैं? (मेरे पास प्रमाण पत्र है sub.example.com, लेकिन रूट नहीं है।)

क्या मैं एक उपडोमेन के साथ एचएसटीएस प्रीलोड सूची में आवेदन कर सकता हूं, जैसे sub.example.com?

security  google-chrome  hsts 
केविन बर्क
स्रोत

जवाबों:

5

क्या सभी उप-डोमेन को HTTPS का उपयोग करने की आवश्यकता है?

तकनीकी रूप से, केवल मूल डोमेन को शामिल करने के लिए HTTPS का उपयोग करने की आवश्यकता है, लेकिन एक बार जब आप शामिल हो जाते हैं, तो मूल डोमेन के अंतर्गत किसी भी साइट को HTTPS का उपयोग करने की आवश्यकता होती है, अन्यथा कनेक्ट करना विफल हो जाएगा, इसलिए व्यावहारिक रूप से आप सभी उप डोमेन को HTTPS का उपयोग करना चाहेंगे।

क्या मैं एक उपडोमेन के साथ HSTS प्रीलोड सूची में आवेदन कर सकता हूं, जैसे sub.example.com?

नहीं, यदि आप एक उपडोमेन का परीक्षण करने का प्रयास करते हैं तो आपको निम्नलिखित चेतावनी मिलेगी

example.jrtapsell.co.ukएक उपडोमेन है। कृपया jrtapsell.co.ukइसके बजाय प्रीलोड करें । (प्रीलोड सूची के आकार और उप-डोमेन में कुकीज़ के व्यवहार के कारण, हम केवल पूरे पंजीकृत डोमेन की स्वचालित प्रीलोड सूची प्रस्तुतियाँ स्वीकार करते हैं।)

जिस तरह से यह जाँच की जाती है वह एक सार्वजनिक प्रत्यय सूची के माध्यम से होती है, जैसे कि यह एक: https://publicsuffix.org/list/

क्या मुझे प्रीलोड सूची के लिए आवेदन करने के लिए वाइल्डकार्ड प्रमाणपत्र का उपयोग करने की आवश्यकता है?

नहीं, जब तक एसएसएल कॉन्फ़िगरेशन मान्य है तब तक आप आवेदन कर सकते हैं, प्रमाणपत्र प्रकार कोई फर्क नहीं पड़ता।

jrtapsell
स्रोत
3

हालांकि मैंने इसे व्यक्तिगत रूप से आज़माया नहीं है, HSTS मानक ( RFC 6797 ) के माध्यम से पढ़ा है, मैं निम्नलिखित की व्याख्या / समझता हूँ:

  • यदि मूल डोमेन HSTS अनुपालन है, तो इसके लिए एसटीडी HTTP हेडर में शामिल SSDDains निर्देश जारी करके उप-डोमेन के लिए पॉलिसी को लागू करने के लिए भी HSTS अनुपालन नहीं हो सकता है ।

  • यदि मूल डोमेन HSTS के अनुरूप नहीं है तो यह HSTS अनुरूप होने से एक उप-डोमेन को रोक नहीं सकता है। एक उपडोमेन HSTS के साथ पूरी तरह से काम करने में सक्षम होना चाहिए बशर्ते कि यह उचित HTTP हेडर जारी करता है और https://subdomain.example.com/ पर ठीक से काम करता है ।

richhallstoke
स्रोत
3

HSTS प्रीलोड सूची में शामिल करने के लिए वाइल्डकार्ड SSL प्रमाणपत्र होना अनिवार्य नहीं है ।

यदि आपके पास एक एकल डोमेन है, तो आप वाइल्डकार्ड एसएसएल प्रमाणपत्र का उपयोग करने के बजाय एचएसटीएस प्रीलोड सूची में शामिल करने के लिए किसी भी डोमेन मान्य एसएसएल प्रमाणपत्र का उपयोग कर सकते हैं ।

जेक एडले
स्रोत
1
जबकि मुझे लगता है कि यह सच है, क्या आपके पास इसे वापस करने का कोई संदर्भ है?
एंड्रयू लोट
1

SSL के रूप में सभी उप-डोमेन को शामिल करना आवश्यक है ताकि प्रीलोड सूची में प्राप्त किया जा सके जैसे कि https://hstspreload.appspot.com/।

  1. वैध प्रमाण पत्र हो।
  2. सभी HTTP ट्रैफ़िक को HTTPS पर पुनर्निर्देशित करें - अर्थात केवल HTTPS बनें।
  3. HTTPS पर सभी उप-डोमेन परोसें।
  4. बेस डोमेन पर एक HSTS हेडर परोसें:
    • एक्सपायरी कम से कम अठारह सप्ताह (10886400 सेकंड) होनी चाहिए।
    • शामिल करने योग्य टोकन निर्दिष्ट किया जाना चाहिए।
    • प्रीलोड टोकन निर्दिष्ट किया जाना चाहिए।
    • यदि आप एक रीडायरेक्ट परोस रहे हैं, तो उस रीडायरेक्ट में HSTS हेडर होना चाहिए, न कि वह पेज जिसे वह रीडायरेक्ट करता है।

क्या इसका मतलब है कि आपको वाइल्डकार्ड की आवश्यकता है? नहीं। आप प्रत्येक उपडोमेन के लिए अलग-अलग एसएसएल सेरेक्ट प्राप्त कर सकते हैं। यह शायद सबसे सस्ता मार्ग होगा। आप वाइल्डकार्ड चुन सकते हैं, लेकिन जब तक आपके पास सुरक्षा के लायक 5+ सबडोमेन हैं, तब तक यह आर्थिक रूप से इसके लायक नहीं है। किसी भी तरह से, यदि आप पहले से लोड होना चाहते हैं तो सभी सबडोमेन को HTTPS मोड होना चाहिए।

उस विचार का उपयोग करते हुए, यदि आप एक उपडोमेन को रूट के रूप में उपयोग करते हैं, तो आपको उपडोमेन के उपडोमेन की उसी तरह से रक्षा करनी होगी :) या निश्चित रूप से, पीछे की ओर, आप TLD की रक्षा के बिना उप पर HSTS की घोषणा नहीं कर सकते। जड़।

dhaupin
स्रोत
इसलिए, स्पष्ट होने के लिए, मैं sub.example.com प्रस्तुत नहीं कर सकता था यदि example.com SSL के साथ मान्य नहीं था।
केविन बर्क
@ केविनबर्के सही ब्रोथ है। अपने माता-पिता की तरह बाल संबंध से TLD से बुदबुदाती है। मुझे यकीन नहीं है कि अगर sub.sub.example को TLD SSL की आवश्यकता होगी, हालांकि (मुझे कभी उप पर उप HSTS नहीं करना पड़ा)। मैं मान रहा हूँ कि यह "रूट" डोमेन अथॉरिटी / स्कोप पर आधारित पॉलिसी है।
धापिन २ d'
@ केविनबर्के नोट: यह भी सुनिश्चित करें कि आपका एचएसटीएस कैश 180+ दिन है क्वलीस / पीसीआई पास करने के लिए और जो भी एसएससी आप खरीद रहे हैं वह आरएसए 2 (56) है। यदि आप कभी भी प्रीलोड न करने का निर्णय लेते हैं, तो प्रीलोड फ़्लैग को हटाने से पहले क्लाइंट को साफ़ करने के लिए एक या दो सप्ताह के लिए 0 का कैश सेट करें।
धापिन
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.