web-dev-qa-db-ja.com

HSTSプリロードリストに含めるには、ワイルドカードSSL証明書が必要ですか?

個人用サイトを Chrome HSTSプリロードリスト に送信したいと思います。

そこのサイトは言う:

HSTSプリロードリストに含めるには、サイトで以下を行う必要があります。

  • 有効な証明書を持っている。
  • すべてのHTTPトラフィックをHTTPSにリダイレクトします。つまり、HTTPSのみにします。
  • HTTPS経由ですべてのサブドメインを提供します。
  • ベースドメインでHSTSヘッダーを提供する:
    • 有効期限は少なくとも18週間(10886400秒)でなければなりません。 includeSubdomainsトークンを指定する必要があります。プリロードトークンを指定する必要があります。リダイレクトを提供している場合、そのリダイレクトにはリダイレクト先のページではなく、HSTSヘッダーが必要です。

これは、証明書がすべてのサブドメインに対して有効である必要があるのか​​、それともHTTPSを介して利用可能/提供されている必要があるという意味ですか? (sub.example.comの証明書を持っていますが、ルートは持っていません。)

sub.example.comなどのサブドメインを使用してHSTSプリロードリストに適用できますか?

8
Kevin Burke

すべてのサブドメインでHTTPSを使用する必要がありますか?

技術的には、ルートドメインのみにHTTPSを使用する必要がありますが、含まれると、ルートドメインの下のすべてのサイトでHTTPSを使用する必要があります。そうしないと、接続に失敗します。

Sub.example.comのようなサブドメインでHSTSプリロードリストに適用できますか?

いいえ、サブドメインをテストしようとすると、次の警告が表示されます

example.jrtapsell.co.ukはサブドメインです。代わりにjrtapsell.co.ukをプリロードしてください。 (プリロードリストのサイズとサブドメイン間でのCookieの動作により、登録済みドメイン全体の自動プリロードリスト送信のみを受け入れます。)

これを確認する方法は、次のようなパブリックサフィックスリストを使用します。 https://publicsuffix.org/list/

プリロードリストに申請するには、ワイルドカード証明書を使用する必要がありますか?

いいえ、SSL構成が有効であれば、適用できますが、証明書の種類は関係ありません。

4
jrtapsell

私は個人的には試していませんが、HSTS標準( RFC 6797 )を読み通して、次のことを解釈/理解しています:

  • 親ドメインがHSTS準拠の場合、STSでincludeSubDomainsディレクティブを発行することにより、サブドメインがHSTS準拠であるようにポリシーを適用する必要はありませんが、強制することができますHTTPヘッダー。

  • 親ドメインがnotHSTSに準拠している場合、サブドメインがHSTSに準拠することを停止しません。サブドメインは、適切なHTTPヘッダーを発行し、 https://subdomain.example.com/ で適切に機能する場合、HSTSで完全に機能する必要があります。

2
richhallstoke

HSTSプリロードリストに含めるためにワイルドカードSSL証明書を持つことは必須ではありません。

単一のドメインがある場合は、ワイルドカードSSL証明書を使用する代わりに、HSTSプリロードリストに含めるためにDomain Validated SSL証明書を使用できます。

2
Jake Adley

ここにあるプリロードリストにアクセスするには、すべてのサブドメインをSSLとして含める必要があります https://hstspreload.appspot.com/

  1. 有効な証明書を持っている。
  2. すべてのHTTPトラフィックをHTTPSにリダイレクトします。つまり、HTTPSのみにします。
  3. HTTPS経由ですべてのサブドメインを提供します。
  4. ベースドメインでHSTSヘッダーを提供する:
    • 有効期限は少なくとも18週間(10886400秒)でなければなりません。
    • IncludeSubdomainsトークンを指定する必要があります。
    • プリロードトークンを指定する必要があります。
    • リダイレクトを提供している場合、そのリダイレクトにはリダイレクト先のページではなく、HSTSヘッダーが必要です。

それは、ワイルドカードが必要ということですか?いや。サブドメインごとに個別のSSL証明書を取得できます。これはおそらく最も安いルートでしょう。ワイルドカードを選択できますが、保護する価値のあるサブドメインが5つ以上になるまで、経済的には価値がありません。いずれにしても、プリロードする場合は、すべてのサブドメインをHTTPSモードにする必要があります。

その考えを使用すると、サブドメインをルートとして使用する場合、同じ方法でサブドメインのサブドメインを保護する必要があります:)もちろん、逆に、TLDを保護せずにサブでHSTSを宣言することはできませんルート。

1
dhaupin