Si tengo un dominio seguro enlace , pero también tengo un dominio inseguro enlace y enlace , ¿es posible usar un encabezado HSTS con la opción includeSubDomains si solo lo envía en enlace ?
No. Debemos recordar, sin embargo, que la implementación de HSTS se deja en el navegador (UA, para ser precisos). Dado el texto del estándar , es posible que veamos algunas variaciones.
La intención es que si agrega el bit opcional "IncludeSubDomains", el UA también debe enviar solicitudes de HTTPS a subdominios. Si los subdominios no están listos con HTTPS, NO recomendaría que use la directiva IncludeSubDomains.
[EDITAR]
Parte de la confusión proviene de esta declaración en el estándar:
De la Sección 5.2 Política de HSTS:
Una política HSTS puede contener una directiva opcional - includeSubDomains - especificando que esta Política de HSTS también se aplica a cualquier host cuyos nombres de dominio sean subdominios del nombre de dominio del Host de HSTS conocido.
La referencia no es a los nombres de host ni a los nombres de dominio completos (FQDN), sino a los nombres de dominio.
Aquí, la definición de "nombre de dominio" es aparentemente crítica, y no pude encontrar una referencia suficientemente inequívoca; Debido a la presencia de términos como "nombre de dominio completo" y "nombre de dominio completo". Es posible que el estándar use el término "nombre de dominio" de la misma manera que usamos "nombre de host" o FQDN. En ese caso, mi respuesta sería incorrecta.
Sí. Si configura includeSubDomains en www.foo.com, solo se puede acceder a www.foo.com y * .www.foo.com exclusivamente a través de HTTPS. Puede tener otro subdominio como los dominios insecure.foo.com sin marca HSTS.
Compare esto con la configuración de includeSubDomains en foo.com. Ahora todos los subdominios como anything.foo.com deben servirse a través de HTTPS.
Lea otras preguntas en las etiquetas hsts