ich schlage mich seit dieser Woche mit dem Thema HSTS Preload List Submission rum. Bis dato haben wir für die wenigen Seiten einfach die entsprechenden Zeilen in eine .htacces Datei gepackt und der Check/Submission war erfolgreich.
Nun wird leider öfters vom Kunden vergessen nach einem Update des CMS auch die .htaccess Datei wieder um die notwendigen Zeilen zu ergänzen. Was dazu führt, dass ein Ticket bei mir dafür eingeht. Ich pflege es nach, aber ist mit der Zeit einfach lästig.
Das Szenario ist wie folgt:
Im KeyHelp gibt es eine Domain xyz.de und dazu passend die Subdomain www.xyz.de. Für beide gibt es jeweils ein LE Zertifikat. im Reiter Sicherheit sind die Parameter Sichere Verbindung erzwingen und HTTP Strict Transport Security (HSTS) aktiviert. Für die Domain xyz.de ist im Reiter Allgemein der Parameter Domain-Ziel für eine Weiterleitung konfigiert. Die Weiterleitung zeigt auf https://www.xyz.de.
Das führt bei HSTS Preload List Submission dazu, dass zwei Fehler gefunden werden.
- Response error: No HSTS header is present on the response.
- `http://xyz.de` (HTTP) should immediately redirect to `https://xyz.de` (HTTPS) before adding the www subdomain. Right now, the first redirect is to `https://www.xyz.de/`. The extra redirect is required to ensure that any browser which supports HSTS will record the HSTS entry for the top level domain, not just the subdomain.
Wäre es möglich die Verarbeitung von Sichere Verbindung erzwingen und der Weiterleitung in der Konfiguration zu tauschen, wenn HSTS aktiviert ist?
/Dani
World Hack Organization