Page 1 of 1

HSTS Meldung von Firefox und Chrome

Posted: Wed 4. Sep 2019, 10:40
by BloodOfPanda
Ein Hallo in die Runde,

ich habe zu meiner test.domain.dev kein SSL Zertifikat hinterlegt und auch kein HSTS aktiviert, dennoch bekomme ich von den Browsern die Meldung das es so wäre. Auch bei der dazugehörigen Hauptdomain ist HSTS nicht aktiviert lediglich Let's Encrypt SSL ist aktiv.


Image
https://bruzzlers.de/images/bild5.png (Das zweite Bild war mir zu groß daher als Link :))

Ich habe verschiedene Browser genutzt und auch den Cache dieser gelöscht. Ohne erfolg. Auch auf einem Rechner der noch nie auf der Seite war bekommt man die gleiche Meldung. Nehme ich eine andere Domain geht es wunderbar.

Hat jemand ne Idee wo es hängen könnte bzw. in welchen Logs ich dazu was lesen könnte?

Grüße Marcel

Re: HSTS Meldung von Firefox und Chrome  [GELÖST]

Posted: Wed 4. Sep 2019, 11:18
by mhagge
Hallo Marcel,

für .dev-Domains ist automatisch schon von Seiten der Registry HSTS aktiviert (siehe z.B. hier: https://t3n.de/news/dev-tlds-sind-jetzt ... r-1147633/ ). Es macht also keinen Sinn, dort kein SSL/HSTS zu aktivieren bzw. führt dann zu beschriebenem Problem.

Viele Grüße
Markus

Re: HSTS Meldung von Firefox und Chrome

Posted: Wed 4. Sep 2019, 11:55
by Tobi
Ich meine sogar gelesen zu haben, dass .dev - Domains _zwingend_ ein gültiges Zertifikat haben _müssen_!

Re: HSTS Meldung von Firefox und Chrome

Posted: Wed 4. Sep 2019, 11:59
by Martin
Hallo,

das bedingt sich ja aus HSTS, interessant zu wissen das dies bei diesen Domains erzwungen wird.

Re: HSTS Meldung von Firefox und Chrome

Posted: Wed 4. Sep 2019, 13:45
by BloodOfPanda
mhagge wrote: Wed 4. Sep 2019, 11:18 Hallo Marcel,

für .dev-Domains ist automatisch schon von Seiten der Registry HSTS aktiviert (siehe z.B. hier: https://t3n.de/news/dev-tlds-sind-jetzt ... r-1147633/ ). Es macht also keinen Sinn, dort kein SSL/HSTS zu aktivieren bzw. führt dann zu beschriebenem Problem.

Viele Grüße
Markus
Tobi wrote: Wed 4. Sep 2019, 11:55 Ich meine sogar gelesen zu haben, dass .dev - Domains _zwingend_ ein gültiges Zertifikat haben _müssen_!
Ihr habt natürlich recht... Und ich habe das komplett vergessen, dass es so ist.

Als die .dev Domains zum Kauf rausgekommen sind, haben wir noch in nem anderen Forum da drüber diskutiert und ich meinte noch "Ist ja nicht schlimm hab ja so oder so HTTPS aktiv". Nun brauchte ich, aber zum Testen einer Funktion von nem DrayTek Router eine Seite die unverschlüsselt ist und ich dachte mir "Hey wie praktisch ich hab ja meine .dev Domain dafür die kann ich ja gleich dazu benutzten xD".

Vielen Dank für die Rückmeldungen ist damit gelöst.