HSTS i dati sono conservati da ciascun browser.
Quando viene effettuata una richiesta a un dominio che implementa HSTS, le intestazioni di risposta conterranno un'intestazione Strict-Transport-Security
che rileva l'età massima del record e facoltativamente altri valori relativi a HSTS.
L'età massima dà effettivamente inizio al momento in cui viene ricevuta la risposta.
Questo è illustrato, sebbene non esplicitamente enunciato, dalla RFC 6797 sezione 11.2 (non normativa ), che afferma:
The "constant value into the future" approach can be accomplished by
constantly sending the same max-age value to UAs.
e
The "fixed point in time" approach can be accomplished by sending
max-age values that represent the remaining time until the desired
expiry time. This would require the HSTS Host to send a newly
calculated max-age value in each HTTP response.
Quindi, se un dominio ha utilizzato HSTS in passato, in una situazione in cui la HSTS max-age non è stata modificata in precedenza, il primo momento in cui nessun client può contare sui vecchi dati HSTS è il tempo del ultima richiesta che ha restituito i dati HSTS, più il tempo indicato in tali dati HSTS in quel momento. Se l'età massima dell'HSTS è stata abbassata, questi periodi di tempo formano finestre scorrevoli; ciò che finisce per ultimo è il primo momento in cui nessun cliente può contare sui vecchi dati HSTS. Questa è una conseguenza di uno dei requisiti della sezione 8.1.1 (normativa):
A Known HSTS Host is "expired" if its cache entry has an expiry date
in the past. The UA MUST evict all expired Known HSTS Hosts from its
cache if, at any time, an expired Known HSTS Host exists in the
cache.
In ogni richiesta, se la risposta viene ricevuta su un trasporto sicuro e include dati HSTS, allora come indicato nella sezione 8.1, il client UA deve aggiornare il proprio elenco di host HSTS noti (normativo):
If /.../ the UA MUST [either]: /.../
-
Update the UA's cached information for the Known HSTS Host if
either or both of the max-age and includeSubDomains header field
value tokens are conveying information different than that already
maintained by the UA.
The max-age value is essentially a "time to live" value relative
to the reception time of the STS header field.
Di conseguenza, attivare HSTS è di fatto una promessa di continuare a offrire HTTPS valido per non meno della durata del parametro HSTS di età massima, contando dal momento della risposta.
Come ulteriore conseguenza, non esiste una data e un'ora di "scadenza" fisse per i dati HSTS a meno che il server usi l'approccio "punto fisso nel tempo" descritto non-normatively nella RFC.