1. ¿Qué hace preload
?
El indicador de precarga indica el consentimiento para que se permita el dominio en HSTS preload lista (utilizada por Chrome, Firefox, IE 11, Edge y otros navegadores).
El equipo de seguridad de Chrome permite que cualquier dominio envíe su dominio a la lista, siempre que cumpla con los siguientes requisitos:
- HTTPS está habilitado en el dominio raíz (por ejemplo,
https://donotcall.gov
), y todos los subdominios (por ejemplo, https://www.donotcall.gov
), especialmente el subdominio www
, si existe un registro de DNS.
- La política de HSTS incluye todos los subdominios, con un largo
max-age
y un indicador preload
para indicar que el propietario del dominio acepta la precarga.
- El sitio web redirige de HTTP a HTTPS, al menos en el dominio raíz.
Fuente: enlace
Puede ver más información en la página Envío de precarga HSTS .
2. ¿Qué hace env=HTTPS
?
Este es un argumento de la directiva Apache Header
(parte de mod_headers module ):
env=[!]varname
La directiva se aplica solo si existe la variable de entorno varname
. Un !
frente a varname
revierte la prueba, por lo que la directiva solo se aplica si varname
no está establecido.
En este caso, el encabezado HTTP solo se envía cuando se establece la variable de entorno HTTPS
. Esta variable de entorno solo se establece cuando se accede a las páginas / recursos a través de HTTPS. El razonamiento detrás de esto está en sección 7.2 de la especificación HSTS :
Un host HSTS NO DEBE incluir el campo de encabezado STS en las respuestas HTTP transmitidas a través de un transporte no seguro.
En cuanto a por qué , consulte esta pregunta .