web-dev-qa-db-ja.com

includeSubdomainsを使用したサブドメインのHSTS

私のサイトがfoo.example.comにあり、訪問者がHTTPSを使用してサイトにアクセスするときに、次のHTTPヘッダーを送信するとします。

Strict-Transport-Security: max-age=31536000; includeSubDomains

HSTSポリシーは、example.combar.example.comなどのドメインに影響しますか?

私は証明書を担当していませんが、証明書の一般名は*.example.comであるため、それが重要かどうかはわかりません。

証明書はabc.foo.example.comに対して有効ではありませんが、そのようなホストに対して有効な証明書がある場合、HSTSポリシーが適用されると思います。

31

RFC HTTP Strict Transport Security(HSTS) に基づいて、includeSubDomainsは次のように述べています。

6.1.2。includeSubDomainsディレクティブ

オプションの「includeSubDomains」ディレクティブは、存在しない場合(つまり、「アサートされる」)、値のないディレクティブであり、HSTSポリシーがこのHSTSホストおよびホストのドメイン名のサブドメインに適用されることをUAに通知します。

したがって、HSTSポリシーはfoo.example.comおよび*.foo.example.comにのみ適用されます

example.comおよびbar.example.comは影響を受けません。

詳細については、ウェブマスターのスレッドにタイトルがあります HSTSプリロードリストに含めるにはワイルドカードSSL証明書が必要ですか?

38
user2320464

HSTSポリシーは、example.comやbar.example.comなどのドメインに影響しますか?

はい。 includeSubDomainsは、ドメイン名のすべてのサブドメインに影響します。重要なことに、foo.example.comのドメイン名はexample.comであるため、準拠しているすべてのユーザーエージェントがHSTS制限を*.example.comに適用します。

6.1.2。includeSubDomainsディレクティブ

オプションの「includeSubDomains」ディレクティブは、存在しない場合(つまり、「アサートされる」)、値のないディレクティブであり、HSTSポリシーがこのHSTSホストおよびホストのサブドメインに適用されることをUAに通知しますドメイン名。

emphasismine)

証明書はabc.foo.example.comには有効ではありませんが、そのようなホストに有効な証明書がある場合、HSTSポリシーがそこで適用されると思います。

そのとおりです。証明書の有効性は、ホスト名が厳格なトランスポートセキュリティ制限の対象になるかどうかとは関係ありません。

2
Luckyrat

11.4.2 は、HSTSホストではなくサブドメインと相互作用するWebアプリのシナリオを説明します(abc.domain.comではなくdomain.com)この場合、UAはHSTSポリシーを適用しません。提案は次のとおりです。

HSTSホストは、よく知られている「エントリポイント」を構成する各HSTSホストドメインまたはサブドメイン名でSTSヘッダーフィールドが直接送信されるように構成する必要があります

しかし、セクション 11.4.1 は、すべてのサブドメインがHTTPSを実装する必要があることを示しています。

スペックから:

Ca.example.comがHSTSポリシーを発行する場合、
includeSubDomainsディレクティブ、次にca.example.com Webアプリケーションと対話したHSTSを実装するHTTPベースのユーザーエージェント
CRLの取得に失敗し、証明書のOCSPのチェックに失敗します、
これらのサービスはプレーンHTTPで提供されるため。

この場合、サンプルCAは次のいずれかを実行できます。

  • includeSubDomainsディレクティブを使用しない、または

  • ca.example.comのサブドメインで提供されるHTTPベースのサービスもTLS/SSLで均一に提供されることを確認する、または

  • 異なるドメイン名でプレーンなHTTPベースのサービスを提供する(例:crl-and-ocsp.ca.example.NET)、または

  • 証明書ステータス情報を配布する代替アプローチを利用して、プレーンHTTPを介してCRL配布およびOCSPサービスを提供する必要をなくします(たとえば、「証明書ステータスリクエスト」TLS拡張[RFC6066]、通称「OCSPステイプル」と呼ばれる)。

2
Purefan