Se ho un dominio collegamento sicuro, ma ho anche link e link , è possibile utilizzare un'intestazione HSTS con l'opzione includeSubDomains se la si invia solo su link ?
No. Dobbiamo ricordare però che l'implementazione dell'HSTS è lasciata al browser (UA, per essere precisi). Data la formulazione dello standard , è possibile che potremmo vedere alcune variazioni.
L'intento è che se si aggiunge il bit opzionale "IncludeSubDomains", l'UA deve successivamente inviare solo richieste HTTPS ai sottodomini. Se i sottodomini non sono pronti con HTTPS, NON consiglio di utilizzare la direttiva IncludeSubDomains.
[EDIT]
Parte della confusione deriva da questa affermazione nello standard:
From Section 5.2 HSTS Policy:
An HSTS Policy may contain an optional directive -- includeSubDomains -- specifying that this HSTS Policy also applies to any hosts whose domain names are subdomains of the Known HSTS Host's domain name.
Il riferimento non è ai nomi host o nomi di dominio completi (FQDN), ma solo ai nomi di dominio.
Qui la definizione di "nome di dominio" è apparentemente critica - e non ho potuto trovare un riferimento sufficientemente non ambiguo; a causa della presenza di termini come "nome dominio completo" e "nome dominio completo". È possibile che lo standard utilizzi il termine "nome dominio" nello stesso modo in cui usiamo "nome host" o FQDN. In tal caso, la mia risposta sarebbe sbagliata.
Sì. Se si imposta includeSubDomains su www.foo.com, è possibile accedere esclusivamente a www.foo.com e * .www.foo.com esclusivamente tramite HTTPS. Puoi avere un altro sottodominio come i domini insecure.foo.com senza flag HSTS.
Confronta questo con l'impostazione di includeSubDomains su foo.com. Ora tutti i sottodomini come anything.foo.com devono essere pubblicati su HTTPS.
Leggi altre domande sui tag hsts