¿Puedo activar HSTS para 1 subdominio?

8

Me gustaría aplicar HSTS para solo 1 subdominio, pero no para todo el dominio, ¿es esto posible?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off
ssl http https más asqueroso
fuente
1
Lectura recomendada: la página de Wikipedia y el RFC en sí . Hay un código de implementación para varios servidores web en la página de Wikipedia y la respuesta a su pregunta en el RFC .
Ladadadada
@Ladadadada, excepto que el RFC no es lo suficientemente claro sobre dominios. En esta pregunta, ¿el dominio es siempre yyy.com, o la emisión de un encabezado sts de xxx.yyy.com solo se aplica a * .xxx.yyy.com (y por lo tanto trata xxx.yyy.com como el "dominio")?
bvgheluwe

Respuestas:

15

Si.

Envíe el Strict-Transport-Securityencabezado solo para xxx.yyy.comy no especifique includeSubDomains.
Los navegadores que manejan correctamente HSTS solo establecerán el requisito para el subdominio especificado ( xxx.yyy.com) en este caso.

voretaq7
fuente
2
Sólo por curiosidad, ¿qué pasaría si el Strict-Transport-Securityen xxx.yyy.com incluirá el includeSubDomains? ¿Eso no solo afectaría *.xxx.yyy.com?
Aaron Gibralter
1
@AaronGibralter Eso es lo que entiendo (y mi interpretación de la pregunta original fue " solo para xxx.yyy.com" y es por eso que dije que no se estableciera includeSubDomains): si desea que los subdominios xxx.yyy.comtambién impongan HSTS, debe configurarlo includeSubDomainsen el encabezado.
voretaq7
2
Si includeSubDomainsestá presente xxx.yyy.com, *.yyy.com¿ afectará también ? (es decir, se romperá zzz.yyy.comsi no entretiene HTTPS)?
mg007
Puedo confirmar esto. Mi banco tiene www.bank.com y homebanking.bank.com. Esas son entradas separadas en la lista de hsts del navegador y se crean independientemente una de la otra. La lista de hsts de Chrome se puede buscar a través de chrome: // net-internals / # hsts -> "Consultar dominio HSTS / PKP" (tenga en cuenta que es una búsqueda exacta: "banco" no arrojó un resultado).
bvgheluwe