修复因HSTS在子域上中断的链路跟踪？

Question

所以，差不多一年前，我在我的网站上设置了HSTS，并将其提交给Google的预加载列表。现在，我遇到了一个问题，因为我将sendgrid链接跟踪标记为白色，这依赖于我站点的子域的cname。因此，这些链接失败，并在Chrome中得到一个NET::ERR_CERT_COMMON_NAME_INVALID错误，因为浏览器接收的SSL证书来自SendGrid。

有办法解决这个问题吗？Chrome的预加载列表期望我的所有子域都可以通过SSL提供服务，并有一个与我的实际域绑定的证书。有没有办法让Chrome迅速删除我的子域的期望？或者是否有一种方法可以更改SendGrid设置，以消除CNAME记录和子域重定向到SendGrid域？也许还有别的事。

顺便说一下，我的子域有自己的SSL证书。

我愿意切换到一个不同的领域，我的链接跟踪，如果必要，但我将需要一种方式重写旧的客户电子邮件链接。

Answer 1

您可以使用CDN (如Fastly或CloudFlare )对SendGrid单击跟踪链接执行SSL终止。他们将终止SSL (这将满足您的HSTS配置)，并将请求代理到SendGrid以进行单击跟踪/重定向。

这里还有一些附加信息：networks.html

本质上，您希望配置want / CloudFlare来代理请求，向SendGrid支持进行验证，并为您的帐户启用"SSL单击跟踪“。一旦它们确认一切都按预期设置，那么您就可以在您的子域中更新CNAME，以指向CDN提供程序，而不是直接指向SendGrid。

您还可以使用mod_proxy设置Apache以终止SSL并将请求直接代理到SendGrid。