Intestazione HSTS non impostata con configurazione www e non www

OrkoGrayskull · 6 Ottobre 2022, 8:23am

Ciao,

Sto usando l’installazione standard.

Ecco cosa ho modificato in app.yml:

hooks:   
## Aggiungi certificato Let's Encrypt per nomi di dominio non www e www   
  after_ssl:     
    - replace:         
        filename: "/etc/runit/1.d/letsencrypt"         
        from: /--keylength/         
        to: "-d example.com -d www.example.com --keylength"

L’hostname per il tuo Discourse è: www.example.com

Finora l’impostazione funziona e il certificato viene consegnato per example.com e www.example.com.

Ma quando controllo il parametro SSL con SSLLabs, l’header HSTS manca per il dominio www.example.com. Per example.com funziona:

Strict Transport Security (HSTS) Sì
max-age=31536000; includeSubdomains; preload

E Hardenize (www.hardenize.com) dice quanto segue:

Reindirizzamento da HTTP a HTTPS non allo stesso host

Quando viene utilizzato HSTS, la porta in chiaro dovrebbe reindirizzare alla variante HTTPS dello stesso hostname. Questo approccio garantisce che HSTS sia abilitato su quell’hostname, anche se in seguito il client viene inviato altrove. Un reindirizzamento a un altro host è sicuro solo se si tratta di un host padre che ha HSTS con includeSubDomains abilitato, ma non è questo il caso.

Punto di partenza: http://example.de

Reindirizzamento corrente: https://www.example.com

Reindirizzamento previsto: https://example.com

Policy non precaricata
Quando un hostname è precaricato, significa che i browser incorporano la tua policy HSTS e la applicano anche alla prima richiesta inviata al tuo sito web. Questo server indica il precaricamento nella sua policy, ma il nome di dominio non è effettivamente precaricato. Classifichiamo questo come un avviso perché è un problema comune inserire la parola chiave ‘preload’ nella policy anche se l’infrastruttura non è pronta per il precaricamento. Questo è pericoloso perché, in questa situazione, chiunque può inviare questo nome di dominio per il precaricamento semplicemente visitando hstspreload.org. Ti consigliamo di precaricare tu stesso questo nome di dominio, se è pronto, o di rimuovere l’indicatore di precaricamento dalla policy finché non sarà pronto.

Qualche idea sul perché l’header HSTS NON è impostato per il dominio www.example.com?

merefield · 6 Ottobre 2022, 8:36am

Interessante, ho recentemente eseguito la migrazione al sottodominio www e il mio apex non ha HSTS, ma mi chiedo se sia dovuto al reindirizzamento e alla mancanza di una risposta diretta del server? L’apex ottiene ancora una valutazione ‘A’ (seppur minore)… questo influirebbe sulla reputazione del server, sulla SEO? Le cose stanno decisamente funzionando bene senza di esso.

Non so se questo sia utile?:

pfaffman · 6 Ottobre 2022, 8:48pm

Dovrai esaminare più attentamente web.template.yml e i file di configurazione nginx risultanti, quindi aggiungere elementi per far sì che nginx faccia ciò che desideri.

Argomento		Risposte	Visualizzazioni
Let’s Encrypt problem after upgrading to 1.9.0.beta3 Bug	14	1668	Luglio 14, 2017
Help adding includeSubDomains to the Strict-Transport-Security header Hosting	5	77	Settembre 22, 2025
Problem in installing Let's Encrypt SSL for www and non-www Installation	12	4677	Settembre 8, 2023
SSL is not valid for www.domain.com Installation	22	228	Gennaio 15, 2025
About force www to non www Support	30	2771	Dicembre 10, 2021

Intestazione HSTS non impostata con configurazione www e non www

Argomenti correlati