Moi,
Omistan SSL-sertifikaatin joka on varattu ainoastaan päädomainille eli ts. kyseessä EI ole wildcard- tai multidomain-sertifikaatti. Tahtoisin tietää voinko pitää alidomaineissa suojaamattomia sivuja vai vaikuttaako päädomainin HTTP Strict Transport Security myös suojaamattomiin alidomaineihin estäen alidomainien käytön kokonaan.
Yritin lueskella aihetta käsittelevää Wikipedia-artikkelia sekä joitakin muita sivuja internetin ihmeellisessä maailmassa, mutta nopeasti en löydä vastausta. Tai sitten vaan olen puusilmä. Tai tyhmä.
Tarkoitukseni on kartoittaa fiksuinta toteutustapaa, joka myös toimisi, omalle saitilleni. HSTS:n käytöstä poistaminen ei ole vaihtoehto.
--
Petja
Riippuu siitä, lähetätkö HSTS:tä säätelevässä Strict-Transport-Security-otsikossa määreen includeSubdomains. (Tämä määre näkyy jo Wikipedian esimerkissä, ja mielestäni määreen nimi on varsin yksiselitteisesti tarkoitusta kuvaava.) Netissä on tusinoittain spekulaatioita, mikä on asian käytännön merkitys tietoturvan kannalta, mutta ainakin kannattaa asettaa sivuston evästeet HTTPS-tilaan Set-Cookie-otsikon secure-määreellä ja varmistaa, että kaikki aladomainit ovat omassa hallinnassasi.
Aihe on jo aika vanha, joten et voi enää vastata siihen.