HSTS limita la connessione a essere sempre HTTPS se distribuita da qualsiasi dominio, tuttavia per applicarla ai sottodomini è necessario l'attributo 'includeSubDomain'. Perché la politica stessa non rende obbligatorio includere tutti i sottodomini? Per quali ragioni / restrizioni è stata imposta la bandierina?
I sottodomini possono spesso essere utilizzati per scopi diversi e, di conseguenza, possono utilizzare diverse applicazioni Web eventualmente ospitate su apparecchiature diverse.
Non tutti i siti Web di ogni sottodominio devono seguire la politica del dominio, può anche accadere che i siti sui sottodomini non supportino HTTPS a causa della mancanza di supporto nell'applicazione e / o di non avere un certificato SSL.
Quindi applicare automaticamente un criterio sul dominio principale potrebbe interrompere le cose per i sottodomini.
È meglio consentire al proprietario del sito di decidere se i sottodomini sono interessati, così come il proprietario del sito decide se utilizzare o meno l'HSTS. La maggiore flessibilità potrebbe aiutare a migliorare l'adozione di HSTS riducendo gli ostacoli di compatibilità.
Alcuni dei servizi di sottodominio potrebbero non avere ancora installato un server HTTPS. Esistono alcuni casi in cui non è importante che la sicurezza abbia HTTPS su determinati sottodomini.
Questo risponde perché includeSubDomain non è obbligatorio.
Si potrebbe ancora chiedere perché non è l'impostazione predefinita:
Per questo vorrei sottolineare che l'HSTS non può essere annullato se non chiedendo ai tuoi visitatori di svuotare la cache nel proprio browser. È probabile che i tuoi visitatori non lo facciano.
Quindi, se accidentalmente hai applicato HSTS a più di quello che intendevi, quel (sotto) dominio va giù in modo permanente per quei visitatori finché non cambiano dispositivi o browser, cancella la cache sul browser, o il proprietario del sito installa un server HTTPS. (che potrebbe essere tecnicamente difficile su alcuni servizi legacy)
Il mio miglior esempio sul perché questo sarebbe male, è il webhosting. Immagina un webhost, diciamo che somecheapwebhostingexample.com ha HSTS e persino una pagina di pagamento. E poi non hanno certificati jolly o qualcosa del genere.
Quindi un cliente si registra come customer1.somecheapwebhostingexample.com. È ovvio che sia un cattivo esempio per distribuire i sottodomini per impostazione predefinita qui.
Esistono altri esempi in cui esistono più sottodomini, ma nessun certificato disponibile per tutti.
Leggi altre domande sui tag http web-application tls hsts sub-domain