Lecture recommandée: La page Wikipedia et le RFC lui-même . Il y a du code d'implémentation pour différents serveurs Web sur la page Wikipedia et la réponse à votre question dans le RFC .
Ladadadada
@Ladadadada, sauf que le RFC n'est pas assez clair sur les domaines. Dans cette question, le domaine est-il toujours yyy.com, ou l'émission d'un en-tête sts à partir de xxx.yyy.com ne s'applique-t-elle qu'à * .xxx.yyy.com (et traite donc xxx.yyy.com comme le "domaine")?
bvgheluwe
Réponses:
15
Oui.
Envoyez l'en- Strict-Transport-Securitytête uniquement pour xxx.yyy.com, et ne spécifiez pasincludeSubDomains .
Les navigateurs qui gèrent correctement HSTS ne définiront l'exigence que pour le sous-domaine spécifié ( xxx.yyy.com) dans ce cas.
Je suis juste curieux, ce qui se passerait si le Strict-Transport-Securitysur a xxx.yyy.comfait comprendre la includeSubDomains? Cela n'affecterait-il pas seulement *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter C'est ma compréhension (et mon interprétation de la question d'origine était " uniquement pour xxx.yyy.com", c'est pourquoi j'ai dit de ne pas définir includeSubDomains) - Si vous voulez que les sous-domaines xxx.yyy.comappliquent également HSTS, vous devez définir includeSubDomainsdans l'en-tête.
voretaq7
2
Si includeSubDomainsest présent xxx.yyy.com, cela affectera- *.yyy.comt- il également ? (c.-à-d. va-t-il se casser zzz.yyy.coms'il ne reçoit pas HTTPS)?
mg007
Je peux le confirmer. Ma banque a www.bank.com et homebanking.bank.com. Ce sont des entrées distinctes dans la liste hsts du navigateur et elles sont créées indépendamment les unes des autres. La liste hsts de Chrome peut être recherchée via chrome: // net-internals / # hsts -> "Interroger le domaine HSTS / PKP" (sachez qu'il s'agit d'une recherche exacte: "banque" n'a pas donné de résultat).
Réponses:
Oui.
Envoyez l'en-
Strict-Transport-Securitytête uniquement pourxxx.yyy.com, et ne spécifiez pasincludeSubDomains.Les navigateurs qui gèrent correctement HSTS ne définiront l'exigence que pour le sous-domaine spécifié (
xxx.yyy.com) dans ce cas.la source
Strict-Transport-Securitysur axxx.yyy.comfait comprendre laincludeSubDomains? Cela n'affecterait-il pas seulement*.xxx.yyy.com?xxx.yyy.com", c'est pourquoi j'ai dit de ne pas définirincludeSubDomains) - Si vous voulez que les sous-domainesxxx.yyy.comappliquent également HSTS, vous devez définirincludeSubDomainsdans l'en-tête.includeSubDomainsest présentxxx.yyy.com, cela affectera-*.yyy.comt- il également ? (c.-à-d. va-t-il se casserzzz.yyy.coms'il ne reçoit pas HTTPS)?