Subdomain nicht erreichbar - HSTS Fehler

[Cizz]

Hallo zusammen,
vor kurzem bin ich wegen LE auf Debian 10 umgesteigen und nutze nun seit einiger Woche Keyhelp. Keyhelp finde ich auch gut verständlich und übersichtlich. Nur das mit den Subdomains funktioniert noch nicht, wie erwartet.
Ich habe zur nomalen domain.ltd eine Subdomail neu.domain.ltd als Kunde angelegt.

domain.ltd und neu.domain.ltd verweisen jeweils auf unterschiedliche Ordner im www Ordner. Alle Domains laufen laut Keyhelp mit LE.

Mein Problem:
Wenn ich die Subdomain auf das Verzeichnis der Hauptdomain und die Hauptdomain auf das Verzeichnis der Subdomain zeigen lasse, werden beide Seiten korrekt angezeigt. Zeigt die Hauptdomain auf das Hauptdomainverzeichnis und die Subdomain auf das Subdomainverzeichnis, wird automatisch auf die Hauptdomain im Browser umgeleitet. Gebe ich die Subdomain per Hand ein, gibt es ein Sicherheitsproblem:

"www.neu.domain.de" verwendet eine Sicherheitstechnologie namens "HTTP Strict Transport Security (HSTS)", durch welche Firefox nur über gesicherte Verbindungen mit der Website verbinden darf. Daher kann keine Ausnahme für die Website hinzugefügt werden.

Den Cache des Browsers habe ich bei jedem laden der Seite gelöscht und auch mit einem anderen Browsern versucht.

So soll es sein, funktioniert aber nicht

So soll es sein, funktioniert aber nicht

so funktioniert es, soll aber noch nicht sein

so funktioniert es, soll aber noch nicht sein

Was übersehe ich. Ist dieses Problem vielleicht bekannt? Wer kann helfen?
Vielen Dank im Voraus.

[Florian]

Hallo,
"www.neu.domain.de" ? Das wäre dann eine Sub-Subdomain, aber im Keyhelp wird der www-Präfix normal nicht angelegt, das muss wenn manuell geschehen.

[Cizz]

hmmm ...
bei einem anderen Kunden, der keine Subdomains hat, wurde bei mir das www automatisch angelegt.

Bei der Einrichtung einer neuen Domain wird nach dem Anlegen einer www Subdomain gefragt. Ich habe den Haken einfach drin gelassen. Hätte ich ihn raus nehmen sollen?

neu.domain.de hat lt. Anzeige im Keyhelp kein www davor.

[Florian]

Hallo,

ja wenn die Subdomain als Hauptdomain angelegt wurde, kann man wählen ob das www-Präfix mit angelegt werden soll, aber auf den Screenshost ist da nicht ersichtlich.

Man sollte auch HSTS erst aktivieren wenn die Domains mit SSL problemlos laufen, denn ein Leeren des Caches hilft bei HSTS nichts. Vermutlich wird auf eine Domain oder Subdomain weitergleitet für die es keine SSL Konfiguration gibt, daher erscheint dann der Fehler.

[OlliTheDarkness]

hmmm ...
bei einem anderen Kunden, der keine Subdomains hat, wurde bei mir das www automatisch angelegt.
iqnis-domains.png

Bei der Einrichtung einer neuen Domain wird nach dem Anlegen einer www Subdomain gefragt. Ich habe den Haken einfach drin gelassen. Hätte ich ihn raus nehmen sollen?

Einrichtung.png

neu.domain.de hat lt. Anzeige im Keyhelp kein www davor.

Vermutlich fehlerhafte DNS Konfiguration.

Kurzes Beispiel anhand deinem domain.de Beispiel:

domain.de = Hauptzone
neu.domain.de = Subzone
www.neu.domain.de = SubSubzone

Im DNS müsste es also so aussehen:
*
*.neu

Unbenannt.png (5.59 KiB) Viewed 2294 times

ACHTUNG:
Komm nicht auf die Idee mehrere Platzhalter also *.* zu benutzen, das verträgt der DNS Server nicht und läd die Zone nicht mehr.

Edit:
Vergiss was ich geschrieben hab, hab dein Problem falsch verstanden >.<
Allerdings beachte wenn du HSTS verwendest, dann merkt sich das der Browser, schaltest du es später ab bekommst du bis zum ablauf der Zeit die im HSTS angelegt hast event. Fehler beim aufruf, weil der Browser eine Gesicherte Seite erwaretet aber sie nicht bekommt.

[Cizz]

Hallo,

ja wenn die Subdomain als Hauptdomain angelegt wurde, kann man wählen ob das www-Präfix mit angelegt werden soll, aber auf den Screenshost ist da nicht ersichtlich.

Man sollte auch HSTS erst aktivieren wenn die Domains mit SSL problemlos laufen, denn ein Leeren des Caches hilft bei HSTS nichts. Vermutlich wird auf eine Domain oder Subdomain weitergleitet für die es keine SSL Konfiguration gibt, daher erscheint dann der Fehler.

Ja, domain.de wurde als Hauptdomain angelegt. Allerdings habe ich, wie schon gesagt, beim Anlegen der Hauptdomain das Häckchen bei www Subdomain anlegen drin gelassen. Habe bei der Zertifikatseinstellung auch schon alle Varianten durchprobiert (von kein Zertifikat bis einschl. HSTS). Nach jeder Änderung Cache gelöscht und webserver neustart.

[Cizz]

Edit:
Vergiss was ich geschrieben hab, hab dein Problem falsch verstanden >.<
Allerdings beachte wenn du HSTS verwendest, dann merkt sich das der Browser, schaltest du es später ab bekommst du bis zum ablauf der Zeit die im HSTS angelegt hast event. Fehler beim aufruf, weil der Browser eine Gesicherte Seite erwaretet aber sie nicht bekommt.

HSTS kann ich wieder rausnehmen. Zeit ist 120 Tage
Gibt es einen Weg, es irgenwie vergessen zu machen?

[Florian]

Hallo,

einen anderen Browser nehmen, mit dem die Domains noch nicht aufgerufen wurden.

[tab-kh]

Beim eigenen Browser wird man das wohl irgendwie wegbekommen, bei anderen, welche die Seite bereits aufgerufen haben, eher nicht. Also wenn weg, dann möglichst schnell weg, bevor noch mehr Leute die Domain aufrufen. Und dann halt LE-Zertifikat holen, wenn es funktioniert https wieder aktivieren, wenn das auch funktioniert kannst du HSTS entweder noch eine Weile rauslassen um ein wenig länger zu testen - oder du aktivierst es wieder. Wenn du freilich auf der Preload-Liste bist, dann sind alle Browser betroffen.

[Cizz]

Also das mit HSTS habe ich jetzt verstanden. Vielen Dank!
Weitere Domains habe ich jetzt ohne HSTS eingerichtet und auch bei allen anderen weggenommen. LE ist überall aktiv aber nur mit dem Zusatz HTTP --> HTTPS

Da es sich hier um eine Subdomain handelt die noch nicht offiziell ist, sondern nur für eine Freundin zur Anschauung - würde es auch helfen, wenn ich die Subdomain lösche und eine neue evtl. mit einem neuen Präfix (statt neu.domain.de z.B. neue.domain.de) zu erstellen? Die Datenbank ist recht fix geändert.

[OlliTheDarkness]

Also das mit HSTS habe ich jetzt verstanden. Vielen Dank!
Weitere Domains habe ich jetzt ohne HSTS eingerichtet und auch bei allen anderen weggenommen. LE ist überall aktiv aber nur mit dem Zusatz HTTP --> HTTPS

Da es sich hier um eine Subdomain handelt die noch nicht offiziell ist, sondern nur für eine Freundin zur Anschauung - würde es auch helfen, wenn ich die Subdomain lösche und eine neue evtl. mit einem neuen Präfix (statt neu.domain.de z.B. neue.domain.de) zu erstellen? Die Datenbank ist recht fix geändert.

Sicher, weil neu ist nicht neue also somit noch nicht bekannt.

Und für die Zukunft merke dir: Erst testen und wenn es fehlerfrei läuft HSTS aktivieren, sonst wird es unschön wie bemerkt hast.
Vorallem bei länger bekannten Adressen kann das zum Todesurteil einer Seite führen.