HSTS 標頭會導致 CNAME 記錄出現問題？

幾年來，我的個人域上有 SSL：https ://juriansluiman.nl 。現在我使用子域來訪問我的 Google Apps：郵件、日​​曆等。所有這些子域都是使用Google 推薦的 CNAME 方法配置的。在我開始使用 HTTPS 之前和之後，這一直有效。

幾個月前，我開始在我的域上添加一個 HSTS 標頭。在那段時間裡，我也開始注意到我無法再使用子域訪問我的Google頁面了。

範例： http: //mail.juriansluiman.nl或https://mail.juriansluiman.nl

我所有的瀏覽器都給我一個連接錯誤。像 web-sniffer.net 這樣的工具會返回消息“獲取 URL 時出錯”。有誰知道具體問題可能是什麼？

CNAME它與記錄本身無關。

然而： Google Apps 服務沒有您的 、 等名稱的有效mail.example.com證書calendar.example.com。

因此，他們只處理此類名稱的 HTTP（他們只是重定向到*.google.com相關服務的適當 HTTPS url）。

因此，我非常有信心您的https://mail.juriansluiman.nl/範例從未奏效。

http://mail.juriansluiman.nl/但是，在您添加 HSTS 標頭之前，它可能曾經工作過。

您似乎只為某些請求發送 HSTS 標頭（我假設您嘗試恢復配置？）但對於 favicon.ico 您發送以下內容：

Strict-Transport-Security: max-age=31536000; includeSubdomains
Strict-Transport-Security: max-age=63072000

其中includeSubDomains強制對所有子域使用 HTTPS，除了響應中包含此標頭的請求的名稱。

我不確定您為什麼要發送兩個 HSTS 標頭，但瀏覽器似乎確實將第一個標頭與 includeSubdomains 一起使用。

引用自：https://serverfault.com/questions/711310