Kann ich HSTS für 1 Subdomain aktivieren?

8

Ich möchte HSTS nur für 1 Subdomain erzwingen, aber nicht für die gesamte Domain. Ist dies möglich?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off
ssl  http  https 
gröber
quelle
1
Empfohlene Lektüre: Die Wikipedia-Seite und der RFC selbst . Auf der Wikipedia-Seite finden Sie Implementierungscode für verschiedene Webserver und die Antwort auf Ihre Frage im RFC .
Ladadadada
@Ladadadada, außer dass der RFC imo nicht klar genug über Domains ist. Ist die Domain in dieser Frage immer yyy.com oder würde die Ausgabe eines sts-Headers von xxx.yyy.com nur für * .xxx.yyy.com gelten (und somit xxx.yyy.com als "Domain" behandeln)?
Bvgheluwe

Antworten:

15

Ja.

Senden Sie den Strict-Transport-SecurityHeader nur für xxx.yyy.comund geben Sie ihn nicht an includeSubDomains.
Browser, die HSTS ordnungsgemäß verarbeiten, legen xxx.yyy.comin diesem Fall nur die Anforderung für die angegebene Subdomain ( ) fest.

voretaq7
quelle
2
Ich bin nur neugierig, was würde passieren, wenn das Strict-Transport-Securityon xxx.yyy.com das beinhalten würde includeSubDomains? Würde das nicht nur Auswirkungen haben *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter Das ist mein Verständnis (und meine Interpretation der ursprünglichen Frage war " nur für xxx.yyy.com", weshalb ich sagte, nicht zu setzen includeSubDomains) - Wenn Sie möchten, dass die Subdomänen von xxx.yyy.comauch HSTS erzwingen, sollten Sie includeSubDomainsin der Kopfzeile setzen.
voretaq7
2
Wenn includeSubDomainsvorhanden ist, wirkt xxx.yyy.comsich dies auch aus *.yyy.com? (dh wird es brechen, zzz.yyy.comwenn es kein HTTPS unterhält)?
mg007
Ich kann das bestätigen. Meine Bank hat www.bank.com und homebanking.bank.com. Dies sind separate Einträge in der hsts-Liste des Browsers, die unabhängig voneinander erstellt werden. Die hsts-Liste von Chrome kann über chrome durchsucht werden: // net-internals / # hsts -> "HSTS / PKP-Domain abfragen" (beachten Sie, dass es sich um eine genaue Suche handelt: "bank" hat kein Ergebnis geliefert).
Bvgheluwe
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.