Ich hatte kürzlich folgendes Problem. Der Kunde hat eine handvoll QR Codes im Umlauf, die auf Stahl, Holz & Co gedruckt/gefräst wurden und über einen „dynamischen QR-Code-Generator“ erstellt wurden. Heisst: Der QR-Code muss nicht neu erstellt werden, wenn man mal die Ziel-URL ändern möchte, da letztere im Grunde eine „Vermittlungsstelle“ des QR-Code-Anbieters ist und sich beliebig auf einer Wunsch-URL umleiten lässt.
Außerdem hatte der Kunde dort ein Abo gebucht, das ihm erlaubt, eine eigene Subdomain als „Vermittlungsstelle“ zu nutzen. Dazu wird ein CNAME Eintrag auf dem eigenen DNS zum QR-Code-Anbieter gesetzt, damit die Subdomain dann eben in deren Ökosystem läuft, inkl. SSL Zertifikat usw. So machen das auch die ganzen Newsletter-Dienstleister, wenn man bspw. die eigene Subdomain zur An-/Abmeldung nutzen will.
Das Problem: Manche QR-Code-Anbieter bieten ihre dynamische QR-Code-Weiterleitung nur ohne SSL Zertifikat an. Heisst, dass beim Scan des QR-Codes der Browser halt an die http URL der eigenen Subdomain (http://beispiel.domain.xy) leitet, die per CNAME Eintrag bereits im „Ökosystem“ des Anbieters ist.
Hat man über die eigene Domain aber HSTS mit dem Parameter für die Subdomains eingeschaltet, dann lädt der QR-Code die URL nicht, sofern sich im Cache des Users bereits der Security-Header der o.g. Domain befindet – heisst: nur Menschen, die die eigene Domain noch nie besucht haben (und daher den Security-Header nicht im Cache haben) können die Ziel-URL öffnen. Alle anderen werden insb. von Chrome, Firefox, Edge etc. wegen eines „SSL-Konflikts“ geblockt.
Lösung: HSTS ausschalten oder den Parameter „includeSubDomains“ weglassen. (https://www.danielmorell.com/blog/how-to-configure-hsts-on-www-and-other-subdomains)
Das ist natürlich ärgerlich und kein Wunsch-Szenario. Insofern sollte man sich das 3x überlegen, ob man einen dynamischen QR-Code nutzen mag. Ggf. ist es sinnvoller, selbst Weiterleitungs-URLs z.B. per 301-Forwarding in der htaccess anzulegen und die einzelnen QR-Codes auf diese zu lenken. Dann kann man jederzeit die Weiterleitungen anpassen und muss die stählerne QR-Code-Tafel nicht einschmelzen lassen 🙂
