Imaginemos que mi sitio web principal es enlace , pero un usuario escribe enlace .
Si esto redirige directamente a enlace , o si primero redirige a enlace para almacenar en caché la política de HSTS para todo el dominio?
Mi política de HSTS es: max-age=31536000; includeSubDomains; preload
¿El uso de HSTS precargados cambia esto en absoluto?
Si el navegador ya está "al tanto" de la política de HSTS para este dominio, el navegador reescribirá inmediatamente la solicitud para revisar HTTPS y fallará si eso no es posible. Hay dos formas para que un navegador tenga conocimiento de una política de HSTS:
Entonces, si su política no está en la lista de precarga y su usuario nunca ha visitado su sitio antes, entonces la primera solicitud puede pasar por HTTP. (Y, en el caso de un MITM activo, puede permanecer a través de HTTP ya que pueden quitar el encabezado HSTS).
Editar: includeSubdomains se aplica a los subdominios del dominio actual que se está visitando , por lo que un usuario que visite www.example.com no obtendrá una política para *.example.com , sino *.www.example.com . Si desea aplicar la política a todos los subdominios de su dominio de nivel superior, debe hacer que el usuario llegue de alguna manera. (Esto no tiene que ser una redirección, incluso podría ser un IFRAME). Por RFC:
La directiva OPCIONAL "includeSubDomains" es una directiva sin valor que, si está presente (es decir, está "afirmado"), indica a la UA que la La política de HSTS se aplica a este host de HSTS, así como a cualquier subdominio de nombre de dominio del host.