HSTS en un subdominio con includeSubdomains

Basado en el RFC, Seguridad de transporte estricta de HTTP (HSTS) , los estados includeSubDomains:

  

6.1.2. La directiva includeSubDomains

     

La directiva OPCIONAL "includeSubDomains" es una directiva sin valor      que, si está presente (es decir, está "afirmado"), indica a la UA que la      La política de HSTS se aplica a este host de HSTS, así como a cualquier subdominio de      el nombre de dominio del host.

Por lo tanto, su política de HSTS solo se aplicaría a foo.example.com y *.foo.example.com

example.com y bar.example.com no se verían afectados.

Para obtener más información, hay un gran hilo en los webmasters titulado ¿Necesito un certificado SSL comodín para incluirlo en la lista de precarga HSTS?

Depende, la sección 11.4.2 describe el escenario de las aplicaciones web que interactúan con los subdominios pero no con el host HSTS ( abc.domain.com pero no domain.com ) y, en este caso, los UA no aplicarán la política de HSTS. La sugerencia es:

  

Los hosts HSTS deben configurarse de modo que el campo de encabezado STS sea   emitido directamente en cada dominio de HSTS o nombre de subdominio que   Constituye un conocido "punto de entrada"

Pero la sección 11.4.1 dice que todos los subdominios deben implementar HTTPS, siempre que lo hagan. debería funcionar bien.

De la especificación:

  

Si ca.example.com fuera a emitir una Política de HSTS con el
  La directiva includeSubDomains, a continuación, los agentes de usuario basados en HTTP implementan   HSTS que han interactuado con la aplicación web ca.example.com
  fallaría en recuperar los CRL y no verificar los certificados de OCSP,
  porque estos servicios se ofrecen a través de HTTP simple.

     

En este caso, Ejemplo CA puede:

     

• no usa la directiva includeSubDomains, o

  

• asegúrese de que los servicios basados en HTTP ofrecidos en subdominios de     ca.example.com también se ofrece de manera uniforme a través de TLS / SSL, o

  

• ofrece servicios simples basados en HTTP en un nombre de dominio diferente,   p.ej.,     crl-and-ocsp.ca.example.NET, o

  

• utiliza un enfoque alternativo para distribuir el certificado   estado     información, obviando la necesidad de ofrecer la distribución de CRL y OCSP     Servicios a través de HTTP simple (por ejemplo, la "Solicitud de estado del certificado"     Extensión TLS [RFC6066], a menudo conocida coloquialmente como "OCSP     Grapado ").

  

  

¿La política de HSTS tendría algún efecto en dominios como example.com o bar.example.com?

Sí. includeSubDomains afecta a todos los subdominios del nombre de dominio. De manera crucial, el nombre de dominio de foo.example.com es example.com , por lo que todos los agentes de usuario compatibles aplicarán la restricción HSTS a *.example.com .

  

6.1.2. La directiva includeSubDomains

     

La directiva OPCIONAL "includeSubDomains" es una directiva sin valor que, si está presente (es decir, está "afirmada"), indica a la UA que la Política de HSTS se aplica a este Host de HSTS, así como a cualquier subdominio de dominio nombre.

( énfasis mío)

  

El certificado no es válido para abc.foo.example.com, pero me imagino que si hay un certificado válido para tal host, la política de HSTS se aplicaría allí.

Eso es correcto. La validez del certificado es ortogonal a si un nombre de host está sujeto a una restricción de seguridad de transporte estricta.