Sto cercando di capire la direttiva includeSubDomains nello standard HTTP Strict Transport Security. In particolare sezione 14.4 di RFC 6797 mi confondono.
Il punto 2. dice
The HTTP request sent to uxdhbpahpdsf.example.com will include the Secure-flagged domain cookie.
Ciò sembra implicare che se un cookie di dominio è stato impostato come sicuro, può infatti essere trasmesso a un server prima che il certificato di quel server sia stato convalidato. Ciò vanificherebbe completamente lo scopo di impostare il cookie come sicuro in primo luogo. Se questo non è il caso, allora che cosa sto fraintendendo in quel paragrafo?
Il punto 3. dice
and the user "clicks through" any warning that might be presented
Ciò sembra implicare che lo scenario delle minacce si applicherebbe solo nel caso in cui l'utente ignori gli avvisi di sicurezza o una CA abbia firmato un certificato contraffatto. Ma se uno di questi fosse il caso, l'attacco avrebbe potuto essere indirizzato al dominio example.com.
Qual è la connessione tra includeSubDomains e quel paragrafo? Il punto 3. tratta solo uno scenario, in cui la comunicazione viene passata comunque su HTTPS, il che significa che l'HSTS non farebbe alcuna differenza.