Si el navegador ya está "al tanto" de la política de HSTS para este dominio, el navegador reescribirá inmediatamente la solicitud para revisar HTTPS y fallará si eso no es posible. Hay dos formas para que un navegador tenga conocimiento de una política de HSTS:
- Anteriormente visitó el sitio con una política de HSTS válida y registró esa visita de HSTS.
- Tener una política HSTS precargada del operador del sitio, de manera que la política se incluya cuando el usuario descarga / actualiza el navegador. Cada navegador tiene su propio procedimiento para precargar HSTS.
Entonces, si su política no está en la lista de precarga y su usuario nunca ha visitado su sitio antes, entonces la primera solicitud puede pasar por HTTP. (Y, en el caso de un MITM activo, puede permanecer a través de HTTP ya que pueden quitar el encabezado HSTS).
Editar: includeSubdomains se aplica a los subdominios del dominio actual que se está visitando , por lo que un usuario que visite www.example.com
no obtendrá una política para *.example.com
, sino *.www.example.com
. Si desea aplicar la política a todos los subdominios de su dominio de nivel superior, debe hacer que el usuario llegue de alguna manera. (Esto no tiene que ser una redirección, incluso podría ser un IFRAME). Por RFC:
La directiva OPCIONAL "includeSubDomains" es una directiva sin valor
que, si está presente (es decir, está "afirmado"), indica a la UA que la
La política de HSTS se aplica a este host de HSTS, así como a cualquier subdominio de
nombre de dominio del host.