Je souhaite soumettre mon site personnel à la liste de préchargement Chrome HSTS .
Le site dit:
Pour être inclus dans la liste de préchargement HSTS, votre site doit:
- Avoir un certificat valide.
- Redirigez tout le trafic HTTP vers HTTPS - c'est-à-dire uniquement HTTPS.
- Servir tous les sous-domaines via HTTPS.
- Servir un en-tête HSTS sur le domaine de base:
- L'expiration doit être d'au moins dix-huit semaines (10886400 secondes). Le jeton includeSubdomains doit être spécifié. Le jeton de précharge doit être spécifié. Si vous servez une redirection, cette redirection doit avoir l'en-tête HSTS, pas la page vers laquelle elle redirige.
Est-ce à dire que mon certificat doit être valide pour tous les sous-domaines, ou seulement qu'ils sont disponibles / servis via HTTPS? (J'ai un certificat pour sub.example.com
, mais pas la racine.)
Puis-je appliquer à la liste de préchargement HSTS avec un sous-domaine, comme sub.example.com
?