Falls Sie individuelle Anpassungen und Zugriffsbeschränkungen mittels .htaccess - Datei verwenden, stellen Sie bitte durch ein entsprechendes Regelwerk sicher, dass https://example.com/.well-known immer als Verzeichnis unterhalb der Document-Root des jeweiligen vHosts erreichbar bleibt und nicht durch Rewrite-Rules und Location- oder Alias-Statements verändert oder umgeleitet wird.
Laut RFC 5785 sollte auf jeder Website die URL /.well-known/* ohne Beeinflussung von Rewrite-Rules per http:// und https:// erreichbar sein. Unter dieser URL werden zunehmend bestimmte Dateien und Verfahren angesiedelt. Beispiele dafür sind die Zertifikatsvalidierung von Let's Encrypt unter /.well-known/acme-challenge/* oder der Ausweis der Do Not Track Policy unter /.well-known/dnt-policy.txt. Auch IOS Apps machen zunehmend davon Gebrauch. So wird z. Bsp. die URL https://example.com/.well-known/apple-app-site-association zur Implementierung von Universal Links und Shared Web Credentials in Apps verwendet.
Eine Liste der möglichen Informationen finden Sie unter https://www.iana.org/assignments/well-known-uris/well-known-uris.xhtml
Aufgrund der vielen möglichen Abhängigkeiten in Form von Ausführungsreihenfolge und Spezifik von Rewrite-Rules, Redirect, Aliases und Location- Statements, ist es empfehlenswert, die URL https://example.com/.well-known immer als Verzeichnis unterhalb der Document-Root des jeweiligen vHosts erreichbar zu lassen und nicht durch logische Konfigurationen zu verändern.
Sollten Sie Zugriffsbeschränkungen per Basic-Auth verwenden, so ist mit folgendem Statement in der .htaccess Datei des Verzeichnisses /.well-known/ sicherzustellen, dass es trotzdem erreichbar bleibt:
Order deny,allowDeny from noneAllow from allSatisfy any
