我们已经设置了这样的 SSL 证书:
SAN - blah.subdomain.com, blah.extranet.subdomain.com
CN - blah.subdomain.com
我正在尝试在 IIS 10 中设置 HSTS 标头。我已创建网站,将绑定 80 和 443 的主机指定为
blah.subdomain.com
,然后配置 HSTS 标头。当我导航到站点 blah.subdomain.com
时,我看到了预期的 HSTS 标头,并且服务器被列为 Microsoft-IIS/10.0
。没有证书错误;它说该网站是安全的。但不幸的是,安全扫描仪发现 HSTS 标头存在错误,这是因为扫描仪正在导航到 blah.extranet.subdomain.com
并由 Microsoft-HTTPAPI/2.0
提供服务,从而产生此错误:
HTTP/1.1 404 Not Found
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Sat, 04 May 2024 04:34:39 GMT
Connection: close
Content-Length: 315
The remote HTTPS server does not send the HTTP "Strict-Transport-Security" header
该错误在技术上并不是错误的,但用户不应该使用该 URL 导航到该网站。我需要以某种方式禁用
Microsoft HTTPAPI 2.0
吗?添加以 blah.extranet.subdomain.com
作为主机的其他站点绑定,即使用户不应该使用这样的地址?
解决此问题的更好方法是确保在 Extranet 子域上也正确配置了 SSL 证书,并且设置了相同的 HSTS 标头。这样,无论用户使用哪个子域访问网站,他们都会获得正确的安全设置。您可以按照以下步骤解决此问题:
确保在 Extranet 子域上配置了正确的 SSL 证书。您已经在 blah.subdomain.com 上配置了 SSL 证书,现在需要确保在 blah.extranet.subdomain.com 上也配置了相同的 SSL 证书。
在外网子域的网站设置中,添加相同的HSTS标头,以确保所有子域都强制使用HTTPS连接。
确保Extranet子域中的网站绑定到正确的端口(80和443)。