Исправить отслеживание неработающих ссылок из-за HSTS на поддомене?

Итак, почти год назад я настроил HSTS на своем сайте и отправил его в список предварительной загрузки Google. Теперь у меня проблема, потому что я пометил свое отслеживание ссылок sendgrid, которое зависит от cname для субдомена моего сайта. Таким образом, эти ссылки терпят неудачу и получают ошибку NET::ERR_CERT_COMMON_NAME_INVALID в Chrome, потому что сертификат SSL, который получает браузер, принадлежит SendGrid.

Есть ли способ решить эту проблему? Список предварительной загрузки Chrome предполагает, что все мои поддомены будут обслуживаться через SSL с сертификатом, привязанным к моему фактическому домену. Есть ли способ быстро заставить Chrome удалить это ожидание для моих субдоменов? Или есть способ изменить настройки SendGrid, чтобы я удалил запись CNAME, а мой субдомен перенаправлял на домен SendGrid? Возможно, что-то еще.

Кстати, у моего поддомена есть свой SSL-сертификат.

Я готов переключиться на другой домен для отслеживания ссылок, если это необходимо, но тогда мне понадобится способ переписать ссылки в старых электронных письмах клиентов.


ssl sendgrid apache .htaccess hsts
person David    schedule 03.03.2016    source источник

Ответы (1)


arrow_upward
6
arrow_downward

Вы можете использовать CDN, например Fastly или CloudFlare, для выполнения SSL-терминации ваших ссылок отслеживания кликов SendGrid. Они завершат SSL (что удовлетворит вашу конфигурацию HSTS) и проксирует запрос в SendGrid для отслеживания/перенаправления кликов.

Здесь есть дополнительная информация: https://sendgrid.com/docs/Classroom/Build/Add_Content/content_delivery_networks.html

По сути, вы хотите настроить Fastly / CloudFlare для проксирования запросов, обратиться в службу поддержки SendGrid, чтобы они проверили и включили «отслеживание кликов SSL» для своей учетной записи. Как только они подтвердят, что все настроено должным образом, вы можете обновить CNAME на своем субдомене, чтобы он указывал на провайдера CDN, а не непосредственно на SendGrid.

У вас также есть возможность настроить Apache с mod_proxy для завершения SSL и передачи запросов напрямую в SendGrid.

person Francisco Donoso    schedule 03.03.2016
comment
К сожалению, решения CDN слишком дороги. Итак, мне придется пойти по пути mod_proxy. Спасибо за предложение. Если у вас есть какие-либо подробности, чтобы добавить к этому, я был бы очень признателен. - person David; 04.03.2016
comment
Привет, @David, извини за огромную задержку с ответом на этот вопрос. Вот конфиг, который у меня работает. Это не то, что на самом деле задокументировано SendGrid, но я могу попытаться помочь вам, если у вас возникнут какие-либо проблемы. gist.github.com/francisck/0acfca5f6df2c1131b4b - person Francisco Donoso; 12.03.2016