Могу ли я включить HSTS на 1 поддомен

8

Я хотел бы использовать HSTS только для 1 субдомена, но не для всего домена, возможно ли это?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off
ssl http https грубее
источник
1
Рекомендуемое чтение: страница Википедии и сам RFC . На странице Википедии есть код реализации для различных веб-серверов и ответ на ваш вопрос в RFC .
Ладададада
@Ladadadada, за исключением того, что RFC, по-моему, недостаточно ясен в отношении доменов. В этом вопросе домен всегда yyy.com или выдача заголовка sts из xxx.yyy.com относится только к * .xxx.yyy.com (и, таким образом, рассматривает xxx.yyy.com как «домен»)?
bvgheluwe

Ответы:

15

Да.

Отправляйте Strict-Transport-Securityзаголовок только для xxx.yyy.com, а не указывайте includeSubDomains.
Браузеры, которые правильно обрабатывают HSTS, xxx.yyy.comв этом случае будут устанавливать только требования для указанного субдомена ( ).

voretaq7
источник
2
Мне просто интересно, что произойдет , если Strict-Transport-Securityна xxx.yyy.com действительно включают includeSubDomains? Разве это не повлияет *.xxx.yyy.com?
Аарон Гибралтер
1
@AaronGibralter Это мое понимание (и моя интерпретация первоначального вопроса была « только для xxx.yyy.com», поэтому я сказал не устанавливать includeSubDomains) - Если вы хотите, чтобы субдомены xxx.yyy.comтакже поддерживали HSTS, то вам следует указать includeSubDomainsв заголовке.
voretaq7
2
Если includeSubDomainsприсутствует для xxx.yyy.com, это также повлияет *.yyy.com? (то есть сломается zzz.yyy.comли он, если он не развлекает HTTPS)?
mg007
Я могу это подтвердить. В моем банке есть www.bank.com и homebanking.bank.com. Это отдельные записи в списке hsts браузера, которые создаются независимо друг от друга. Список hsts в Chrome можно искать через chrome: // net-internals / # hsts -> «Запросить домен HSTS / PKP» (учтите, что это точный поиск: «банк» не дал результата).
bvgheluwe