Encabezado HSTS no establecido con configuración www y no www

OrkoGrayskull · 6 Octubre, 2022 08:23

Hola,

Estoy usando la instalación estándar.

Esto es lo que modifiqué en app.yml:

hooks:   
## Añadir certificado Let's Encrypt para dominio no www y www   
  after_ssl:     
    - replace:         
        filename: "/etc/runit/1.d/letsencrypt"         
        from: /--keylength/         
        to: "-d example.com -d www.example.com --keylength"

El nombre de host para tu Discourse es: www.example.com

Hasta ahora, la configuración funciona y el certificado se entrega para example.com y www.example.com.

Pero cuando reviso los parámetros SSL con SSLLabs, falta la cabecera HSTS para el dominio www.example.com. Para example.com está funcionando:

Seguridad de Transporte Estricta (HSTS) Sí
max-age=31536000; includeSubdomains; preload

Y Hardenize (www.hardenize.com) dice lo siguiente:

Redirección de HTTP a HTTPS no al mismo host

Cuando se usa HSTS, el puerto de texto plano debe redirigir a la variante HTTPS del mismo nombre de host. Este enfoque garantiza que HSTS esté habilitado en ese nombre de host, incluso si más tarde el cliente es enviado a otro lugar. Una redirección a otro host solo es segura si es para un host padre que tiene HSTS con includeSubDomains habilitado, pero ese no es el caso aquí.

Punto de partida: http://example.de

Redirección actual: https://www.example.com

Redirección esperada: https://example.com

Política no precargada

Cuando un nombre de host está precargado, significa que los navegadores incrustan tu política HSTS y la aplican incluso a la primera solicitud enviada a tu sitio web. Este servidor indica la precarga en su política, pero el nombre de dominio no está realmente precargado. Clasificamos esto como una advertencia porque es un problema común colocar la palabra ‘preload’ en la política aunque la infraestructura no esté lista para la precarga. Esto es peligroso porque, en esta situación, cualquiera puede enviar este nombre de dominio para precarga simplemente visitando hstspreload.org. Recomendamos que precargues este nombre de dominio tú mismo, si está listo, o elimines el indicador de precarga de la política hasta que esté listo.

¿Alguna idea de por qué la cabecera HSTS NO está configurada para el dominio www.example.com?

merefield · 6 Octubre, 2022 08:36

Interesante, recientemente migré al subdominio www y mi apex carece de HSTS, pero me pregunto si tiene algo que ver con la redirección y la falta de respuesta directa del servidor. El apex todavía obtiene una calificación ‘A’ (aunque menor)… ¿afectaría esto la reputación del servidor, el SEO? Las cosas definitivamente están funcionando bien sin él.

¿No sé si esto es útil?:

pfaffman · 6 Octubre, 2022 20:48

Necesitarás examinar más detenidamente web.template.yml y los archivos de configuración resultantes de nginx y luego agregar cosas para que nginx haga lo que deseas.

Tema		Respuestas	Vistas
Let’s Encrypt problem after upgrading to 1.9.0.beta3 Bug	14	1668	14 Julio 2017
Help adding includeSubDomains to the Strict-Transport-Security header Hosting	5	77	22 Septiembre 2025
Problem in installing Let's Encrypt SSL for www and non-www Installation	12	4677	8 Septiembre 2023
SSL is not valid for www.domain.com Installation	22	228	15 Enero 2025
About force www to non www Support	30	2771	10 Diciembre 2021

Encabezado HSTS no establecido con configuración www y no www

Temas relacionados