Recientemente he auditado un sitio web con tres hosts: el sitio principal ( example.com ) y dos subdominios (llamémoslos portal.example.com , y < em> welcome.example.com ).
De acuerdo con los encabezados de respuesta, HSTS está configurado correctamente para cada host:
strict-transport-security: max-age=2592000; includeSubDomains
Al cargar los hosts en Burp, no pude crear una excepción de seguridad en Firefox para aceptar el certificado SSL autofirmado de Burp para representar el tráfico HTTPS (como se esperaba). Sin embargo, ambos subdominios me permiten crear una excepción de seguridad en Firefox sin problemas. Además, esto me permitió omitir el HSTS en el sitio principal, ya que una vez que se creó una excepción de seguridad para cualquiera de los subdominios, pude representar el tráfico HTTPS para example.com sin problemas.
¿Qué me estoy perdiendo? Pensé que HSTS prohibiría esta actividad, especialmente si se establece en includeSubDomains
.