私のサイトがfoo.example.com
にあり、訪問者がHTTPSを使用してサイトにアクセスするときに、次のHTTPヘッダーを送信するとします。
Strict-Transport-Security: max-age=31536000; includeSubDomains
HSTSポリシーは、example.com
やbar.example.com
などのドメインに影響しますか?
私は証明書を担当していませんが、証明書の一般名は*.example.com
であるため、それが重要かどうかはわかりません。
証明書はabc.foo.example.com
に対して有効ではありませんが、そのようなホストに対して有効な証明書がある場合、HSTSポリシーが適用されると思います。
RFC HTTP Strict Transport Security(HSTS) に基づいて、includeSubDomainsは次のように述べています。
6.1.2。includeSubDomainsディレクティブ
オプションの「includeSubDomains」ディレクティブは、存在しない場合(つまり、「アサートされる」)、値のないディレクティブであり、HSTSポリシーがこのHSTSホストおよびホストのドメイン名のサブドメインに適用されることをUAに通知します。
したがって、HSTSポリシーはfoo.example.com
および*.foo.example.com
にのみ適用されます
example.com
およびbar.example.com
は影響を受けません。
詳細については、ウェブマスターのスレッドにタイトルがあります HSTSプリロードリストに含めるにはワイルドカードSSL証明書が必要ですか?
HSTSポリシーは、example.comやbar.example.comなどのドメインに影響しますか?
はい。 includeSubDomains
は、ドメイン名のすべてのサブドメインに影響します。重要なことに、foo.example.com
のドメイン名はexample.com
であるため、準拠しているすべてのユーザーエージェントがHSTS制限を*.example.com
に適用します。
6.1.2。includeSubDomainsディレクティブ
オプションの「includeSubDomains」ディレクティブは、存在しない場合(つまり、「アサートされる」)、値のないディレクティブであり、HSTSポリシーがこのHSTSホストおよびホストのサブドメインに適用されることをUAに通知しますドメイン名。
(emphasismine)
証明書はabc.foo.example.comには有効ではありませんが、そのようなホストに有効な証明書がある場合、HSTSポリシーがそこで適用されると思います。
そのとおりです。証明書の有効性は、ホスト名が厳格なトランスポートセキュリティ制限の対象になるかどうかとは関係ありません。
11.4.2 は、HSTSホストではなくサブドメインと相互作用するWebアプリのシナリオを説明します(abc.domain.comではなくdomain.com)この場合、UAはHSTSポリシーを適用しません。提案は次のとおりです。
HSTSホストは、よく知られている「エントリポイント」を構成する各HSTSホストドメインまたはサブドメイン名でSTSヘッダーフィールドが直接送信されるように構成する必要があります
しかし、セクション 11.4.1 は、すべてのサブドメインがHTTPSを実装する必要があることを示しています。
スペックから:
Ca.example.comがHSTSポリシーを発行する場合、
includeSubDomainsディレクティブ、次にca.example.com Webアプリケーションと対話したHSTSを実装するHTTPベースのユーザーエージェント
CRLの取得に失敗し、証明書のOCSPのチェックに失敗します、
これらのサービスはプレーンHTTPで提供されるため。この場合、サンプルCAは次のいずれかを実行できます。
includeSubDomainsディレクティブを使用しない、または
ca.example.comのサブドメインで提供されるHTTPベースのサービスもTLS/SSLで均一に提供されることを確認する、または
異なるドメイン名でプレーンなHTTPベースのサービスを提供する(例:crl-and-ocsp.ca.example.NET)、または
証明書ステータス情報を配布する代替アプローチを利用して、プレーンHTTPを介してCRL配布およびOCSPサービスを提供する必要をなくします(たとえば、「証明書ステータスリクエスト」TLS拡張[RFC6066]、通称「OCSPステイプル」と呼ばれる)。