kann mir mal jemand verraten, wer auf raum.ctdo.de HSTS angemacht hat?
also mal ganz davon abgesehen, dass imho HSTS vielleicht sinnvoll ist
fürs blog oder anderweitig publikumswirksame anlaufstelle, (wiki evtl.
noch) aber für die ganzen subdomains, im besonderen die, die eh nur vom
raum aus erreichbar sind, ist das eher überflüssig. aber gut, das ist
nur meine meinung. wenn sich jemand um den kram kümmert isses ja auch
gut soweit.
derzeitiges problem seit ca. letzte woche ist aber folgendes:
das letsencrypt-cert für raum.ctdo.de ist expired, und HSTS ist an.
problematisch daran ist, dass man moderne browser nicht dazu überreden
kann, dass zu ignorieren. zu allem überfluss liefert der HSTS-Header ein
max-age von 63072000 aus (2 Jahre!). Das heißt, für gegebenen Zeitraum
(2 Jahre) kann ein browser, der die Seite schon mal besucht hat,
ebendiese nicht mehr ohne https aufrufen. blöderweise hat jemand das
zertifikat expiren lassen und den autorefresh-cronjob nicht ordentlich
gebaut, sodass man nun vmtl. kein neues letsencrypt-cert mehr fetchen
kann, weil auch der letsencrypt-bot sich so zeug merkt nach der letzten
information die ich dazu habe.
unterm strich bedeutet dass, dass man entweder die domain als verbrannt
ansieht, und ne andere nimmt, oder ein zertifikat von einem der
ssl-seelenverkäufer kauft.
um ehrlich zu sein kann ich nicht ganz nachvollziehen, wie sowas
überhaupt passieren kann, denn wenn man ein cert fetcht, dann gibt man
i.d.R. eine mailaddresse an, und da kommen ich glaub ~18 Tage vorher, ne
woche vorher und 2-3 Tage vorher eine Remindermail, dass das Cert bald
expired.
die fragen an der stelle:
was machen wir deswegen?
wer ist derzeit dafür zuständig?
wie verhindern wir, dass mitanderen subdomains das gleiche passiert?
brauchen wir HSTS, ausser vielleicht für die Webseite selber? (i don't
think so)
-zeus