Lednerb
commented
5 years ago Lösungsvorschlag:
Wir registrieren die Domain (nicht die URL) und starten die Scanner immer mit HTTPS. Eine TLS-gesicherte Verbindung einzurichten ist kein Problem dank Let's Encrypt und modernen Webservern wie bspw. Caddy bzw. Hoster, die als mindest-Service eine automatische Verschlüsselung anbieten.
Folgen, wenn kein HTTPS erreichbar: Domain ist nicht verifizierbar.
Lösungsvorschlag Verifikation: BLA versucht anschließend mittels HTTP. (Bei der Verifikation wollen wir lediglich die Inhaberschaft der Domain prüfen, nicht die Sicherheitsvorkehrungen)
Nach Verifikation: TLS-Scanner sagt unsicher / nicht erreichbar. Header-Scanner bewertet schlecht, da kein HSTS vorhanden.
Empfehlung sowieso: HTTPS aktivieren.
Wir sollten eine Domain als Domain speichern und auf das Scheme verzichten.
Dann beim Eintragen ein Modul / einen Scanner haben, der prüft, ob von HTTP auf HTTPS weitergeleitet wird (es gibt keinen Grund, dies nicht zu tun).
Dadurch sparen wir uns den Aufwand, eine Domain mit und ohne HTTPS zu registieren sowie den doppelten Verifizierungs- und Scan-Aufwand.
Eventuell eignet sich hierfür der Domain-Validator / muss weiter geprüft werden, wie wir das am elegantesten Implementieren können.