Ho pensato di utilizzare HSTS nei miei siti ma non capisco se devo sincronizzare i tempi dell'HSTS con il momento in cui il certificato sarà rinnovato o meno.
Posso usare tranquillamente un tempo statico per HSTS? Vorrei inviare sempre la stessa ora in HSTS e non avere alcun problema quando rinnovo il certificato SSL.
Sono preoccupato di bloccare l'accesso al mio sito a causa dell'uso non corretto dell'HSTS.
HSTS obbliga solo un sito a utilizzare HTTPS. Ciò impedisce l'esecuzione di attacchi di downgrade come SSLstrip . Poiché HSTS non dice nulla sul certificato che verrà utilizzato, non ha alcun effetto quando si rinnova il certificato. (Nota che il certificato dovrà ancora superare tutti i controlli di validità standard.)
La chiave pubblica HTTP bloccata , una tecnologia correlata, viene utilizzata per forzare un browser a consentire solo la visita di un sito con un certificato utilizzando una chiave pubblica specifica . Si noti che questo è diverso da specificare un certificato completo. Anche quando viene utilizzato HPKP, è possibile installare un nuovo certificato sul server, a condizione che utilizzi la stessa coppia di chiavi pubblica privata.