几年来,我的个人域名上都有 SSL:https://juriansluiman.nl。现在我使用子域名访问我的 Google Apps:邮件、日历等。所有这些子域名都使用以下配置:Google 推荐的 CNAME 方法在我开始使用 HTTPS 之前和之后,这个方法都有效了很长时间。
几个月前,我开始在我的域名上添加 HSTS 标头。在此期间,我开始注意到我无法再使用子域名访问我的 Google 页面。
例子:http://mail.juriansluiman.nl或者https://mail.juriansluiman.nl
我的所有浏览器都显示连接错误。web-sniffer.net 等工具返回“获取 URL 时出错”消息。有人知道具体问题是什么吗?
答案1
CNAME它与记录本身无关。
然而:
Google Apps 服务没有您的 、 等名称的有效证书mail.example.com。calendar.example.com因此
,它们只处理此类名称的 HTTP(它们只是重定向到*.google.com相关服务的相应 HTTPS 网址)。
因此,我非常有信心你的https://mail.juriansluiman.nl/例子从来没有起作用。
http://mail.juriansluiman.nl/但是,在您添加 HSTS 标头之前,它可能已经可以正常工作。
您似乎只会对某些请求发送 HSTS 标头(我假设您尝试恢复配置?)但对于 favicon.ico,您发送的是以下内容:
Strict-Transport-Security: max-age=31536000; includeSubdomains
Strict-Transport-Security: max-age=63072000
在哪里包括子域除了在响应中包含此标头的请求的名称之外,还强制所有子域使用 HTTPS。
我不确定为什么发送两个 HSTS 标头,但浏览器似乎将第一个标头与 includeSubdomains 一起使用。