Question Puis-je activer HSTS pour 1 sous-domaine


Je souhaite appliquer HSTS à un seul sous-domaine, mais pas à l'ensemble du domaine. Est-ce possible?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

8
2018-02-25 18:36


origine


Lecture recommandée: La page Wikipedia et le RFC lui-même. Il y a un code d'implémentation pour différents serveurs Web dans la page Wikipedia et la réponse à votre question dans le RFC. - Ladadadada


Réponses:


Oui.

Envoyer le Strict-Transport-Security en-tête uniquement pour xxx.yyy.com, et ne pas spécifier includeSubDomains.
Les navigateurs qui gèrent correctement HSTS ne définiront que la configuration requise pour le sous-domaine spécifié (xxx.yyy.com) dans ce cas.


13
2018-02-25 18:49



Je suis juste curieux de savoir ce qui se passerait si le Strict-Transport-Security sur xxx.yyy.com  fait inclure le includeSubDomains? Cela ne toucherait-il pas *.xxx.yyy.com? - Aaron Gibralter
@AaronGibralter C'est ce que je comprends (et mon interprétation de la question initiale était "seulement pour xxx.yyy.com"c'est pourquoi j'ai dit de ne pas mettre includeSubDomains) - Si vous voulez les sous-domaines de xxx.yyy.com pour appliquer également HSTS alors vous devriez définir includeSubDomains dans l'en-tête. - voretaq7
Si includeSubDomains est présent pour xxx.yyy.com cela affectera-t-il également *.yyy.com? (c.-à-d. ça va casser zzz.yyy.com si elle ne divertit pas HTTPS)? - mg007