HSTSプリロードリストに含めるには、ワイルドカードSSL証明書が必要ですか?

9

個人サイトをChrome HSTSプリロードリストに登録したい

そこのサイトは言う:

HSTSプリロードリストに含まれるためには、サイトは次の条件を満たしている必要があります。

  • 有効な証明書を持っている。
  • すべてのHTTPトラフィックをHTTPSにリダイレクトします-つまりHTTPSのみです。
  • HTTPS経由ですべてのサブドメインを提供します。
  • 基本ドメインでHSTSヘッダーを提供します。
    • 有効期限は少なくとも18週間(10886400秒)でなければなりません。includeSubdomainsトークンを指定する必要があります。プリロードトークンを指定する必要があります。リダイレクトを提供する場合、そのリダイレクトには、リダイレクト先のページではなく、HSTSヘッダーが必要です。

これは、私の証明書がすべてのサブドメインで有効でなければならないということですか、それともHTTPS経由で利用可能/提供されるということだけですか?(私はの証明書を持っていますsub.example.comが、ルートは持っていません。)

次のようなサブドメインを含むHSTSプリロードリストに適用できますsub.example.comか?

security  google-chrome  hsts 
ケビン・バーク
ソース

回答:

5

すべてのサブドメインでHTTPSを使用する必要がありますか?

技術的には、ルートドメインのみを含めるにはHTTPSを使用する必要がありますが、一度含めると、ルートドメインの下のサイトはHTTPSを使用する必要があります。

sub.example.comのようなサブドメインを持つHSTSプリロードリストに適用できますか?

いいえ、サブドメインをテストしようとすると、次の警告が表示されます

example.jrtapsell.co.ukサブドメインです。jrtapsell.co.uk代わりにプリロードしてください。(プリロードリストのサイズとサブドメイン間でのCookieの動作により、登録済みドメイン全体の自動プリロードリスト送信のみを受け付けます。)

これがチェックされる方法は、次のような公開サフィックスリストを介して行われます:https : //publicsuffix.org/list/

プリロードリストに適用するには、ワイルドカード証明書を使用する必要がありますか?

いいえ、SSL構成が有効で適用できる限り、証明書の種類は重要ではありません。

Jrtapsell
ソース
3

私は個人的には試していませんが、HSTS標準(RFC 6797)を読んで、次のことを解釈/理解しています。

  • 親ドメインがHSTSに準拠している場合、その必要はありませんが、STS HTTPヘッダーでincludeSubDomainsディレクティブを発行することにより、サブドメインがHSTSにも準拠するようにポリシーを適用できます。

  • 親ドメインがHSTSに準拠していない場合、サブドメインがHSTSに準拠していることを停止することはありません。サブドメインは、適切なHTTPヘッダーを発行し、https://subdomain.example.com/で適切に機能する場合、HSTSで完全に機能する必要があります

リッチホールストーク
ソース
3

HSTSプリロードリストに含めるためのワイルドカードSSL証明書は必須ではありません。

単一のドメインがある場合、ワイルドカードSSL証明書を使用する代わりに、HSTSプリロードリストに含めるために任意のドメイン検証済みSSL証明書を使用できます。

ジェイク・アドリー
ソース
1
これは正しいと思いますが、それをバックアップするための参考資料はありますか?
Andrew Lott 2014年
1

こちらのhttps://hstspreload.appspot.com/にあるプリロードリストに入るには、すべてのサブドメインをSSLとして含める必要があります。

  1. 有効な証明書を持っている。
  2. すべてのHTTPトラフィックをHTTPSにリダイレクトします-つまりHTTPSのみです。
  3. HTTPS経由ですべてのサブドメインを提供します。
  4. 基本ドメインでHSTSヘッダーを提供します。
    • 有効期限は少なくとも18週間(10886400秒)でなければなりません。
    • includeSubdomainsトークンを指定する必要があります。
    • プリロードトークンを指定する必要があります。
    • リダイレクトを提供する場合、そのリダイレクトには、リダイレクト先のページではなく、HSTSヘッダーが必要です。

つまり、ワイルドカードが必要ですか?いいえ。サブドメインごとに個別のSSL証明書を取得できます。これはおそらく最も安いルートでしょう。ワイルドカードを選択できますが、保護する価値のある5つ以上のサブドメインが存在するようになるまで、財政的には価値がありません。どちらの方法でも、プリロードする場合は、すべてのサブドメインをHTTPSモードにする必要があります。

その考えを使用して、サブドメインをルートとして使用する場合は、サブドメインのサブドメインを同じ方法で保護する必要があります:)もちろん、逆に、TLDを保護せずにサブでHSTSを宣言することはできませんルート。

ドーピン
ソース
つまり、明確にするためにexample.comがSSLで検証されなかった場合、sub.example.comを送信できませんでした。
Kevin Burke
@KevinBurkeそれは正しいブラザです。TLDから吹き出される親子関係のようなものです。sub.sub.exampleがTLD SSLを必要とするかどうかわかりません(私は、subのsubをHSTSする必要がありませんでした)。「ルート」ドメイン権限/スコープに基づいたポリシーなので、そうなると思います。
dhaupin 2014年
@KevinBurke注:HSTSキャッシュがQuelys / PCIに合格するまでに180日以上あることと、調達したSSLがRSA2(56)であることを確認してください。字幕をプリロードしないことにした場合は、キャッシュを1週間または2に設定して、プリロードフラグを削除する前にクライアントをクリアします。
dhaupin 2014年
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.