Puis-je activer HSTS pour 1 sous-domaine

8

J'aimerais appliquer HSTS pour seulement 1 sous-domaine, mais pas pour tout le domaine, est-ce possible?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off
ssl  http  https 
plus grossier
source
1
Lecture recommandée: La page Wikipedia et le RFC lui-même . Il y a du code d'implémentation pour différents serveurs Web sur la page Wikipedia et la réponse à votre question dans le RFC .
Ladadadada
@Ladadadada, sauf que le RFC n'est pas assez clair sur les domaines. Dans cette question, le domaine est-il toujours yyy.com, ou l'émission d'un en-tête sts à partir de xxx.yyy.com ne s'applique-t-elle qu'à * .xxx.yyy.com (et traite donc xxx.yyy.com comme le "domaine")?
bvgheluwe

Réponses:

15

Oui.

Envoyez l'en- Strict-Transport-Securitytête uniquement pour xxx.yyy.com, et ne spécifiez pasincludeSubDomains .
Les navigateurs qui gèrent correctement HSTS ne définiront l'exigence que pour le sous-domaine spécifié ( xxx.yyy.com) dans ce cas.

voretaq7
source
2
Je suis juste curieux, ce qui se passerait si le Strict-Transport-Securitysur a xxx.yyy.com fait comprendre la includeSubDomains? Cela n'affecterait-il pas seulement *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter C'est ma compréhension (et mon interprétation de la question d'origine était " uniquement pour xxx.yyy.com", c'est pourquoi j'ai dit de ne pas définir includeSubDomains) - Si vous voulez que les sous-domaines xxx.yyy.comappliquent également HSTS, vous devez définir includeSubDomainsdans l'en-tête.
voretaq7
2
Si includeSubDomainsest présent xxx.yyy.com, cela affectera- *.yyy.comt- il également ? (c.-à-d. va-t-il se casser zzz.yyy.coms'il ne reçoit pas HTTPS)?
mg007
Je peux le confirmer. Ma banque a www.bank.com et homebanking.bank.com. Ce sont des entrées distinctes dans la liste hsts du navigateur et elles sont créées indépendamment les unes des autres. La liste hsts de Chrome peut être recherchée via chrome: // net-internals / # hsts -> "Interroger le domaine HSTS / PKP" (sachez qu'il s'agit d'une recherche exacte: "banque" n'a pas donné de résultat).
bvgheluwe
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.