1つのサブドメインのHSTSをオンにできますか

8

ドメイン全体ではなく、1つのサブドメインのみにHSTSを適用したいのですが、これは可能ですか？

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

ssl http https

— Grosser
ソース

1

推奨読書：ウィキペディアのページとRFC自体。WikipediaのページにはさまざまなWebサーバーの実装コードがあり、RFCには質問に対する回答があります。

— Ladadadada 2013

@Ladadadada、ただしRFCはドメインについて十分に明確ではありません。この質問では、ドメインは常にyyy.comですか、それともxxx.yyy.comからのstsヘッダーの発行は* .xxx.yyy.comにのみ適用されますか（したがって、xxx.yyy.comは「ドメイン」として扱われます）？

— bvgheluwe

回答:

15

はい。

Strict-Transport-Securityヘッダーのみを送信し、指定しないxxx.yyy.comでくださいincludeSubDomains。この場合
、HSTSを適切に処理するブラウザーは、指定されたサブドメイン（xxx.yyy.com）の要件のみを設定します。

— voretaq7
ソース

2

私は何が起こるか、単に興味Strict-Transport-Securityのはxxx.yyy.com やっ含まれincludeSubDomains？影響するだけではない*.xxx.yyy.comですか？

— アーロンヒブラルター、2015年

1

私の理解（および元の質問の私の解釈は「だったのです@AaronGibralter だけのためにxxx.yyy.com、私はセットにはないと述べた理由である」includeSubDomains） -あなたはのサブドメインが必要な場合xxx.yyy.comもHSTSを強制するために、あなたが設定する必要がありincludeSubDomains、ヘッダに。

— voretaq7 2015年

2

includeSubDomains存在する場合、xxx.yyy.comそれも影響し*.yyy.comますか？（つまり、zzz.yyy.comHTTPSを楽しまないと壊れますか？）

— mg007 2016

確認できます。私の銀行にはwww.bank.comとhomebanking.bank.comがあります。これらはブラウザのhstsリストの個別のエントリであり、互いに独立して作成されます。Chromeのhstsリストは、chrome：// net-internals /＃hsts-> "Query HSTS / PKP domain"から検索できます（これは正確な検索であることに注意してください： "bank"では結果が得られませんでした）。

— bvgheluwe

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。

Licensed under cc by-sa 3.0 with attribution required.