De onde o Firefox obtém as informações do HSTS?

Eu tenho um servidor local que atende HTTPS usando um certificado autoassinado. Não serve http. O certificado é emitido com cn = host1.subdomínio1.domínio1. O servidor também pode ser acessado com o nome host2. Se eu abrir https: // host2 , recebo avisos, mas posso definir uma exceção para o certificado e acessar o conteúdo dos servidores. O servidor não retorna e nunca retornou um cabeçalho HSTS. Se eu acessar o servidor via https: //host1.subdomain1.domain1 , o Firefox emitirá um aviso HSTS e não permitirá uma exceção. É possível que os servidores no domínio1 ou no subdomínio1.domínio1 entreguem cabeçalhos HSTS. Possivelmente eles se aplicaram a subdomínios também.

Mas: mesmo depois de limpar o histórico e as entradas about: Permissions, o comportamento é o mesmo. Então, de onde vêm as informações do HSTS?

O cabeçalho HSTS pode instruir o navegador a incluir subdomínios usando includeSubDomains. Os navegadores também podem conter uma lista pré-carregada de domínios que usam HSTS.

• Um site pode usar o seguinte para especificar HSTS com duração de seis meses e incluindo subdomínios:

  Strict-Transport-Security: max-age=15768000; includeSubDomains
  

• O efeito de fazer isso é exatamente como descrito em sua pergunta. A chave aqui é includeSubDomainsno final da linha do cabeçalho.

• Observe que as versões atuais da maioria dos principais navegadores mantêm uma lista interna de sites conhecidos por usar HSTS e, portanto, podem exigir conectividade HTTPS mesmo quando se conectam a um domínio específico pela primeira vez. Consulte também: OWASP on HTTPS Strict Transport Security .