Seit kurzem beschäftige ich mich mit dem Problem dass ich auf einigen Subdomains automatisch auf die https-URL umgeleitet werde.

Diese Umleitung bewirkt eine Einstellung in meiner Apache SSL/TLS Konfiguration – Ich hatte hier HSTS (HTTP Strict Transport Security) eingeschaltet.

Firefox Error

Bei eingeschaltetem HSTS mit der Option

includeSubDomains

Versucht der Browser auch bei den Subdomains bei denen kein SSL/TLS konfiguriert ist auf eine sichere URL per https zuzugreifen und es erscheint die Fehlermeldung:

Error code: ssl_error_bad_cert_domain

Abhilfe schafft eine Änderung in der Apache-Konfiguration :

Header always set Strict-Transport-Security "max-age=0; preload"

Mit max-age=0 wird HSTS “ausgeschaltet” und durch das Weglassen von includeSubDomains bleiben die Subdomänen auch unberücksichtigt.