Pregunta

tag-icon tag-icon domain-name-system subdomain hsts iis-10 google-domains
Pregunta

Escanear un sitio web usandohttps://observatorio.mozilla.orgme da el siguiente error:La redirección inicial de http a https es a un host diferente, lo que impide HSTS.

Pregunta

  • ¿Es este un problema genuino con mi configuración o un error en la herramienta que no ve el subdominio como parte del mismo dominio?
  • ¿Alguien puede aconsejarme qué me puede faltar según la información adicional a continuación?

Detalle

El dominio de este sitio está registrado en Google Domains. Para garantizar que cualquier persona que acceda al sitio example.comsea redirigido automáticamente, www.example.comhe configurado el reenvío de subdominio con la siguiente regla:

example.com → https://www.example.com 
Permanent redirect (301), Forward path

Además, tengo reglas en el sitio (asp.net) web.configpara redirigir cualquier conexión HTTP a HTTPS y para agregar el Strict-Transport-Securityencabezado HTTP (cuando se presenta solo a través de HTTPS, según el famosoBlog de Scott HanselmanEl consejo de):

<?xml version="1.0" encoding="UTF-8"?>
<configuration>
    <system.webServer>
        <rewrite>
            <rules>
                <rule name="HTTP to HTTPS redirect" stopProcessing="true">
                    <match url="(.*)" />
                    <conditions>
                        <add input="{HTTPS}" pattern="off" ignoreCase="true" />
                    </conditions>
                    <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" />
                </rule>
            </rules>
            <outboundRules>
                <rule name="Add Strict-Transport-Security when HTTPS" enabled="true">
                    <match serverVariable="RESPONSE_Strict_Transport_Security" pattern=".*" />
                    <conditions>
                        <add input="{HTTPS}" pattern="on" ignoreCase="true" />
                    </conditions>
                    <action type="Rewrite" value="max-age=63072000; includeSubDomains; preload" />
                </rule>
            </outboundRules>
        </rewrite>
        <httpProtocol>
            <customHeaders>
                <remove name="X-Powered-By" />
                <!-- add name="Strict-Transport-Security" value="max-age=63072000; includeSubDomains; preload" / -->
                <add name="Content-Security-Policy" value="default-src 'self';" />
                <add name="X-Content-Type-Options" value="nosniff" />
                <add name="X-Frame-Options" value="DENY" />
                <add name="X-Xss-Protection" value="1; mode=block" />
            </customHeaders>
        </httpProtocol>
    </system.webServer>
</configuration>

El sitio en sí está alojado en Azure (bajo mis créditos gratuitos de suscripción a Visual Studio). La URL del sitio aquí es example.azurewebsites.net, y en Google Domains tengo un CName apuntando wwwa example.azurewebsites.net(bajo registros de recursos personalizados).

información relacionada