fragen stichworte

HSTS schließen bestimmte Subdomains mit "includeSubdomains" aus

Ich verwende HSTS mit diesem Header auf meiner Website:

Strict-Transport-Security: max-age=15768000; includeSubDomains

Dies funktioniert wie vorgesehen und zwingt den Browser, alle http-Verbindungen auf https umzuleiten.

In der Dokumentation unter https://tools.ietf.org/html/rfc6797#section-6.1.2 habe ich keine Möglichkeit gefunden, bestimmte Subdomains auszuschließen!

Ich habe bereits versucht, max-age=0 für die Subdomain hinzuzufügen, aber includeSubDomains

wird nicht überschrieben

Ist es möglich Subdomains von der includeSubDomains -Regel auszuschließen? Oder ist die einzige Möglichkeit, diese Regel zu entfernen und nur den HSTS-Header für einige Websites zu verwenden? PS: Mein Webserver ist NGINX und ich habe das Verhalten mit Firefox und Chrome getestet.

antworten

Nein:

Ich denke, einer der Punkte von includeSubdomains besteht darin, sicherzustellen, dass es einem Angreifer nicht möglich ist, Cookies usw. zu entführen, indem der Endbenutzer gezwungen wird, eine Subdomain über einfaches http und dann über sie zu laden. Wenn es nur eine Ausnahme zu includeSubdomains gab, wäre dies unbrauchbar (vorausgesetzt, der Angreifer kann herausfinden, was die Ausnahme ist).