En-tête HSTS non défini avec la configuration www et non www

OrkoGrayskull · Octobre 6, 2022, 8:23

Bonjour,

J’utilise l’installation standard.

Voici ce que j’ai modifié dans app.yml :

hooks:   
## Ajouter le certificat Let's Encrypt pour le nom de domaine non-www et www   
  after_ssl:     
    - replace:         
        filename: "/etc/runit/1.d/letsencrypt"         
        from: /--keylength/         
        to: "-d example.com -d www.example.com --keylength"

Le nom d’hôte de votre Discourse est : www.example.com

Jusqu’à présent, la configuration fonctionne et le certificat est délivré pour example.com et www.example.com.

Mais lorsque je vérifie le paramètre SSL avec SSLLabs, l’en-tête HSTS est manquant pour le domaine www.example.com. Pour example.com, cela fonctionne :

Strict Transport Security (HSTS) Oui
max-age=31536000; includeSubdomains; preload

Et Hardenize (www.hardenize.com) dit ceci :

Redirection de HTTP vers HTTPS pas vers le même hôte

Lorsque HSTS est utilisé, le port en clair doit rediriger vers la variante HTTPS du même nom d’hôte. Cette approche garantit que HSTS est activé sur ce nom d’hôte, même si plus tard le client est envoyé ailleurs. Une redirection vers un autre hôte n’est sûre que si elle concerne un hôte parent qui a HSTS avec includeSubDomains activé, mais ce n’est pas le cas ici.

Point de départ : http://example.de

Redirection actuelle : https://www.example.com

Redirection attendue : https://example.com

Politique non préchargée
Lorsque le nom d’hôte est préchargé, cela signifie que les navigateurs intègrent votre politique HSTS et l’appliquent même à la première requête envoyée à votre site web. Ce serveur indique le préchargement dans sa politique, mais le nom de domaine n’est en fait pas préchargé. Nous classons cela comme un avertissement car c’est un problème courant de placer le mot-clé ‘preload’ dans la politique alors que l’infrastructure n’est pas prête pour le préchargement. C’est dangereux car, dans cette situation, n’importe qui peut soumettre ce nom de domaine pour préchargement simplement en visitant hstspreload.org. Nous vous recommandons soit de précharger ce nom de domaine vous-même - s’il est prêt - soit de supprimer l’indicateur de préchargement de la politique jusqu’à ce qu’il soit prêt.

Des idées pourquoi l’en-tête HSTS n’est PAS défini pour le domaine www.example.com ?

merefield · Octobre 6, 2022, 8:36

Intéressant, j’ai récemment migré vers le sous-domaine www et mon apex manque de HSTS, mais je me demande si cela a quelque chose à voir avec la redirection et le manque de réponse directe du serveur ? L’apex obtient toujours une note ‘A’ (bien que moindre)… cela affecterait-il la réputation du serveur, le SEO ? Les choses fonctionnent certainement bien sans cela.

Je ne sais pas si c’est utile ? :

pfaffman · Octobre 6, 2022, 8:48

Vous devrez examiner de plus près web.template.yml et les fichiers de configuration nginx résultants, puis ajouter des éléments pour que nginx fasse ce que vous voulez.

Sujet		Réponses	Vues
Let’s Encrypt problem after upgrading to 1.9.0.beta3 Bug	14	1668	Juillet 14, 2017
Help adding includeSubDomains to the Strict-Transport-Security header Hosting	5	78	Septembre 22, 2025
Problem in installing Let's Encrypt SSL for www and non-www Installation	12	4677	Septembre 8, 2023
SSL is not valid for www.domain.com Installation	22	229	Janvier 15, 2025
About force www to non www Support	30	2772	Décembre 10, 2021

En-tête HSTS non défini avec la configuration www et non www

Sujets connexes