Am Mon, 13 Mar 2017 07:21:33 +0100 schrieb Luca Bertoncello lucabert@lucabert.de:
Dann kannst du mir wenigstens erklären, warum der selbe Browser mit der selben Seite keinerlei Problem hat, wenn diese in "anonym-Modus" aufgerufen wird?
Weil er im anonym-Modus vorher die Webseite und deren HSTS-Header nicht gesehen hat - der Tab startet "frisch" ohne Zugrff zum Browsercache (lässt sich sonst zum Fingerprinting missbrauchen). Wenn du also erst deine "normale" Webseite aufrufst (per HTTPS), und anschließend im gleichen anonym-Tab die Webseite an deinem Sonderport, müsste das Verhalten das Gleiche sein wie ohne anonym-Modus. Warum sich dein Browser nicht darum scherrt, dass du die Cacert-CA deinem Browsertruststore hinzugefügt hast (das hast du doch, oder?), weiß ich nicht.
Der fragliche Header lautet übrigens "Strict-Transport-Security: max-age=31536000; includeSubDomains", d.h. selbst wenn du auf eine Subdomain umstellst, musst du den Header noch ändern. Da der Header nicht aus der Luft kommt, sondern vom Webserver, musst du da mal in die Konfiguration schauen. Wenn du irgendwo hosten lässt, schau da mal, ob du es einstellen kannst, oder schreibe dem Hoster nötigenfalls ein Ticket.
Statt cacert kannst du inzwischen übrigens auch Letsencrypt verwenden, das ist ohne Kopfstände in den Truststores enthalten - lästig kann dabei aber sein, dass die ausgestellten Zertifikate nur 90 Tage gelten.
Carsten