Уже пару лет у меня в личном домене стоит SSL: https://juriansluiman.nl. Теперь я использовал поддомены для доступа к своим приложениям Google: почта, календарь и т. Д. Все эти поддомены настраиваются с помощью Рекомендуемый Google подход к CNAME. Это работало целую вечность, до и после того, как я начал использовать HTTPS.
Несколько месяцев назад я начал добавлять заголовок HSTS в свой домен. Примерно в то же время я также начал замечать, что больше не могу получить доступ к своим страницам Google, используя поддомены.
Пример: http://mail.juriansluiman.nl или https://mail.juriansluiman.nl
Все мои браузеры выдают ошибку подключения. Такие инструменты, как web-sniffer.net, возвращают мне сообщение «Ошибка при получении URL». Кто-нибудь знает, в чем может быть конкретная проблема?
Это не имеет ничего общего с CNAME записи как таковые.
Тем не мение:
У служб Google Apps нет действительных сертификатов для вашего mail.example.com, calendar.example.comи т.д. имена.
Из-за этого они обрабатывают HTTP только для таких имен (они просто перенаправляют на соответствующий *.google.com HTTPS-адрес соответствующей службы).
Поэтому я вполне уверен, что ваш https://mail.juriansluiman.nl/ пример никогда не работал.
http://mail.juriansluiman.nl/однако, вероятно, раньше работал до того, как вы добавили заголовок HSTS.
Кажется, вы отправляете заголовки HSTS только для некоторых запросов (я предполагаю, что вы пытались вернуть конфигурацию?), Но для favicon.ico вы отправляете это:
Strict-Transport-Security: max-age=31536000; includeSubdomains
Strict-Transport-Security: max-age=63072000
куда includeSubDomains принудительно использует HTTPS для всех поддоменов в дополнение к имени, запрос, для которого этот заголовок был включен в ответ.
Я не уверен, почему вы отправляете два заголовка HSTS, но браузеры, похоже, используют первый с includeSubdomains.