Posso ativar o HSTS para 1 subdomínio

8

Gostaria de aplicar o HSTS para apenas 1 subdomínio, mas não para todo o domínio, isso é possível?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off
ssl http https mais grosseiro
fonte
1
Leitura recomendada: A página da Wikipedia e a própria RFC . Há código de implementação para vários servidores web na página da Wikipedia e a resposta para sua pergunta na RFC .
Ladadadada
@Ladadadada, exceto que o RFC não é claro o suficiente sobre os domínios. Nesta pergunta, o domínio é sempre yyy.com, ou a emissão de um cabeçalho sts de xxx.yyy.com se aplica apenas a * .xxx.yyy.com (e, portanto, trata xxx.yyy.com como o "domínio")?
bvgheluwe 25/09/19

Respostas:

15

Sim.

Envie o Strict-Transport-Securitycabeçalho apenas para xxx.yyy.come não especifique includeSubDomains.
Os navegadores que lidam corretamente com o HSTS apenas definirão o requisito para o subdomínio especificado ( xxx.yyy.com) nesse caso.

voretaq7
fonte
2
Só estou curioso, o que aconteceria se o Strict-Transport-Securitysobre xxx.yyy.com fez incluem o includeSubDomains? Isso não afetaria apenas *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter Essa é a minha compreensão (e minha interpretação da pergunta original foi " apenas para xxx.yyy.com", e é por isso que eu disse para não definir includeSubDomains) - Se você deseja que os subdomínios xxx.yyy.comtambém imponham o HSTS, defina includeSubDomainso cabeçalho.
voretaq7
2
Se includeSubDomainsestiver presente xxx.yyy.com, também afetará *.yyy.com? (ou seja, ele será interrompido zzz.yyy.comse não receber HTTPS)?
MG007
Eu posso confirmar isso. Meu banco tem www.bank.com e homebanking.bank.com. Essas são entradas separadas na lista de hsts do navegador e são criadas independentemente uma da outra. A lista de hsts do Chrome pode ser pesquisada no chrome: // net-internals / # hsts -> "Query HSTS / PKP domain" (lembre-se de que é uma pesquisa exata: "bank" não produziu resultado).
bvgheluwe 25/09/19