Ho qualche dubbio sull'uso di HSTS, come per questo video , una volta implementata l'HSTS, tutti gli URL andranno in HTTPS , ma come tutti sappiamo nell'uso di SSL, abbiamo bisogno di algoritmi di crittografia e scambi di chiavi pre-specificati.
Il mio dubbio è che la prima richiesta è stata implementata con HTTPS, quindi avrebbero usato gli stessi algoritmi e le stesse chiavi specificate nella precedente sessione di connessione, o come avrebbero funzionato?
this happens over HTTP and once the keys are shared and algorithms are decided further data will be encrypted but since in HSTS all data goes encrypted from the first request itself , so the client and server are using the algorithms and keys as decided in previous HTTPS session or how it works, how can the first request be encrypted without sharing the keys
Usa ancora il servizio HTTPS per negoziare versioni SSL, cifrari e chiavi di crittografia. Non è necessario avere un semplice servizio HTTP in ascolto sul proprio server.
HSTS imporrà semplicemente al browser di "ricordare" di non utilizzare il semplice HTTP su un dominio - non influisce sull'handshake SSL.