Ssl

HSTS 標頭會導致 CNAME 記錄出現問題?

  • August 8, 2015

幾年來,我的個人域上有 SSL:https ://juriansluiman.nl 。現在我使用子域來訪問我的 Google Apps:郵件、日​​曆等。所有這些子域都是使用Google 推薦的 CNAME 方法配置的。在我開始使用 HTTPS 之前和之後,這一直有效。

幾個月前,我開始在我的域上添加一個 HSTS 標頭。在那段時間裡,我也開始注意到我無法再使用子域訪問我的Google頁面了。

範例: http: //mail.juriansluiman.nlhttps://mail.juriansluiman.nl

我所有的瀏覽器都給我一個連接錯誤。像 web-sniffer.net 這樣的工具會返回消息“獲取 URL 時出錯”。有誰知道具體問題可能是什麼?

CNAME它與記錄本身無關。

然而: Google Apps 服務沒有您的 、 等名稱的有效mail.example.com證書calendar.example.com

因此,他們只處理此類名稱的 HTTP(他們只是重定向到*.google.com相關服務的適當 HTTPS url)。

因此,我非常有信心您的https://mail.juriansluiman.nl/範例從未奏效。

http://mail.juriansluiman.nl/但是,在您添加 HSTS 標頭之前,它可能曾經工作過。

您似乎只為某些請求發送 HSTS 標頭(我假設您嘗試恢復配置?)但對於 favicon.ico 您發送以下內容:

Strict-Transport-Security: max-age=31536000; includeSubdomains
Strict-Transport-Security: max-age=63072000

其中includeSubDomains強制對所有子域使用 HTTPS,除了響應中包含此標頭的請求的名稱。

我不確定您為什麼要發送兩個 HSTS 標頭,但瀏覽器似乎確實將第一個標頭與 includeSubdomains 一起使用。

引用自:https://serverfault.com/questions/711310