HSTS-Header nicht gesetzt mit www und non-www-Einrichtung

Hallo,

Ich benutze die Standardinstallation.

Das habe ich in app.yml geändert:

hooks:   
## Let's Encrypt Zertifikat für non-www und www Domain hinzufügen   
  after_ssl:     
    - replace:         
        filename: "/etc/runit/1.d/letsencrypt"         
        from: /--keylength/         
        to: "-d example.com -d www.example.com --keylength"

Hostname für Ihr Discourse ist: www.example.com

Bisher funktioniert die Einrichtung und das Zertifikat wird für example.com und www.example.com geliefert.

Wenn ich jedoch die SSL-Parameter mit SSLLabs überprüfe, fehlt der HSTS-Header für die Domain www.example.com. Für example.com funktioniert es:

Strict Transport Security (HSTS) Ja

max-age=31536000; includeSubdomains; preload

Und Hardenize (www.hardenize.com) sagt Folgendes:

Umleitung von HTTP zu HTTPS nicht zum selben Host

Wenn HSTS verwendet wird, sollte der Klartext-Port auf die HTTPS-Variante desselben Hostnamens umgeleitet werden. Dieser Ansatz stellt sicher, dass HSTS auf diesem Hostnamen aktiviert ist, auch wenn später der Client woanders hingeschickt wird. Eine Umleitung zu einem anderen Host ist nur sicher, wenn es sich um einen übergeordneten Host handelt, der HSTS mit aktivierten includeSubDomains hat, aber das ist hier nicht der Fall.

Ausgangspunkt: http://example.de

Aktuelle Umleitung: https://www.example.com

Erwartete Umleitung: https://example.com

Richtlinie nicht vorab geladen

Wenn ein Hostname vorab geladen wird, bedeutet dies, dass Browser Ihre HSTS-Richtlinie einbetten und sie auch auf die erste Anfrage an Ihre Website anwenden. Dieser Server zeigt das Vorabladen in seiner Richtlinie an, aber der Domainname ist tatsächlich nicht vorab geladen. Wir klassifizieren dies als Warnung, da es ein häufiges Problem ist, das Schlüsselwort ‘preload’ in die Richtlinie aufzunehmen, obwohl die Infrastruktur nicht für das Vorabladen bereit ist. Dies ist gefährlich, da in dieser Situation jeder diesen Domainnamen zum Vorabladen einreichen kann, indem er einfach hstspreload.org besucht. Wir empfehlen Ihnen, entweder diesen Domainnamen selbst vorab zu laden – wenn er bereit ist – oder den Indikator für das Vorabladen aus der Richtlinie zu entfernen, bis er bereit ist.

Irgendwelche Ideen, warum der HSTS-Header für die Domain www.example.com NICHT gesetzt ist?

Interessant, ich habe kürzlich die Migration auf die www-Subdomain vorgenommen und meiner Apex-Domain fehlt HSTS, aber ich frage mich, ob das etwas mit der Weiterleitung und dem fehlenden direkten Server-Response zu tun hat? Die Apex-Domain erhält immer noch eine (wenn auch geringere) ‘A’-Bewertung … würde sich das auf den Server-Reputation, SEO auswirken? Die Dinge funktionieren ohne sie definitiv gut.

Ist das vielleicht nützlich?:

Sie müssen sich die web.template.yml- und die resultierenden nginx-Konfigurationsdateien genauer ansehen und dann Dinge hinzufügen, damit nginx das tut, was Sie möchten.