HSTS restringe la conexión para que siempre sea HTTPS si se implementa en cualquier dominio, sin embargo, para que se aplique a subdominios, se necesita el atributo 'includeSubDomain'. ¿Por qué la política en sí misma no obliga a incluir todos los subdominios? ¿Por qué razones / restricciones se pide que se establezca la bandera?
Los subdominios a menudo se pueden usar para diferentes propósitos, y como resultado pueden usar diferentes aplicaciones web posiblemente alojadas en diferentes equipos.
No todos los sitios web de cada subdominio deben seguir la política del dominio, incluso puede darse el caso de que los sitios en subdominios no sean compatibles con HTTPS debido a la falta de soporte en la aplicación y / o no tengan un certificado SSL. / p>
Por lo tanto, imponer automáticamente una política en el dominio principal podría romper las cosas para los subdominios.
Es mejor dejar que el propietario del sitio decida si los subdominios se ven afectados, al igual que el propietario del sitio decide si utilizar HSTS en absoluto. La flexibilidad adicional podría ayudar a mejorar la adopción de HSTS al reducir los obstáculos de compatibilidad.
Es posible que algunos de los servicios de subdominio aún no tengan un servidor HTTPS instalado. Hay algunos casos en los que no es importante para la seguridad tener HTTPS en ciertos subdominios.
Eso responde por qué includeSubDomain no es obligatorio.
Uno todavía podría preguntar por qué no es el predeterminado:
Para esto, me gustaría señalar que no se puede deshacer el HSTS, excepto que le pida a sus visitantes que borren el caché en su propio navegador. Es probable que sus visitantes no hagan esto.
Entonces, si aplicó HSTS accidentalmente a más de lo que tenía previsto, ese (sub) dominio se desactivará permanentemente para esos visitantes hasta que cambien de dispositivo o navegador, borren el caché en el navegador o el propietario del sitio instale un servidor HTTPS. (lo que podría ser técnicamente difícil en algunos servicios heredados)
Mi mejor ejemplo de por qué esto sería malo es el alojamiento web. Imagine un proveedor de alojamiento web, digamos que algún sitio web de alojamiento web tiene HSTS e incluso una página de pago. Y luego no tienen certificados comodín ni nada de eso.
Luego, un cliente se registra como customer1.somecheapwebhostingexample.com. Es obvio que es un mal ejemplo para implementar subdominios por defecto aquí.
Hay otros ejemplos en los que hay varios subdominios, pero no hay un certificado disponible para todos ellos.
Lea otras preguntas en las etiquetas web-application tls http hsts sub-domain