仕様書

状態

[54] 既知ピン付きホストのキャッシュ (Pinning Metadata >>4) は、次の状態を持ちます。

ドメイン名: ピン付きホストPinned Hostのドメイン名です >>5。
実効ピン日付Effective Pin Date: 利用者エージェントがホストに関する妥当なピン付けヘッダーValid Pinning Headerを観測した時刻です >>5。
実効満期日付Effective Expiration Date: 実効ピン日付に max-age を足したものです >>5。
includeSubDomains: includeSubDomains 指令が指定されたかどうかです >>5。
report-uri: report-uri 指令が指定された場合、その値です >>5。
ピン群: 0個以上のピンのリストです。

[12] なお report-uri で指定された URL に送信される JSON では、 effective-expiration-date に実効満期日付を記述します。

report-uri を参照。

[57] 既知ピン付きホストは、ドメイン名により識別します。 IPアドレスは使いません。 >>5

[58] 対象URLのホストが IPアドレスなら、利用者エージェントはそのホストを既知ピン付きホストとして記録してはなりません >>5。

[59]

RFC では Request-URI としています

>>5

が、Request-URI にホストを指定したとは限りませんから、対象URL (実効要求URL) のものを使うべきと思われます。また RFC は RFC 3986 URI を使っているので IP-literal または IPv4address といっています

>>5

が、実際の URL はそれ以外の構文で IPアドレスが指定されるかもしれず、その場合でも既知ピン付きホストとするのは不適当と思われます。

[28] 利用者エージェントは、ドメイン名の IDNA 正準化を行わなければなりません >>5。

[29]

RFC は HSTS の RFC の方法を参照しています。 IDNA 参照。

[60] ドメイン名は、既知HSTSホストドメイン名一致により比較します >>5。

[13] 複数一致するものが見つかる場合 (includeSubDomains が使われている場合にあり得ます。) にどう処理するべきかは定かではありません。すべてにそれぞれ Pin Validation を行う必要があるのでしょうか。

[62] (完全一致ではなく) 超ドメイン一致する既知ピン付きホストのキャッシュを編集してはなりません >>5。

[55] 既知ピン付きホストが満期expiredであるとは、実効満期日付が過去の日付であることをいいます >>5。

[61] 利用者エージェントは max-age 値に上限を設けても構いません。上限を超える値が指定された場合は、上限が指定されたものとして扱って構いません。 >>5

[56] 利用者エージェントは、キャッシュ中の満期の既知ピン付きホストを無視しなければなりません >>5。

[6] 利用者エージェントは、 PKP 仕様に基づき応答から得た既知ピン付きホストの他に、実装組み込みなどの方法でピン付きホストの情報を得て構いません。既知ピン付きホストと衝突する場合にどちらを優先するかは実装定義です。 >>5

[15] preload は、不正な方法で発行された証明書を使って攻撃者が PKP を利用者エージェントに与えることを防ぐために有用かもしれません >>14。

[16] そのような使い方をするなら利用者エージェントの組み込み (preload) の PKP が優先される必要がありそうです。

[9] SecurityEngineering/Public Key Pinning/Implementation Details - MozillaWiki (2015-06-04 12:05:21 +09:00 版) https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning/Implementation_Details
[11] Issue 415689 - chromium - Add an HSTS and key pin preload rule for chrome.com - An open-source project to help move the web forward. - Google Project Hosting (2015-06-04 17:07:50 +09:00 版) https://code.google.com/p/chromium/issues/detail?id=415689
[10] Issue 158883 - chromium - Support enterprise policy HSTS and key pinning preloads - An open-source project to help move the web forward. - Google Project Hosting (2015-06-04 17:07:17 +09:00 版) https://code.google.com/p/chromium/issues/detail?id=158883
[23] http/transport_security_state_static.json - chromium/src/net - Git at Google (2015-06-06 23:45:40 +09:00 版) https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json
[21] Monica at Mozilla: Firefox 32 supports Public Key Pinning (2015-06-06 19:41:20 +09:00 版) http://monica-at-mozilla.blogspot.de/2014/08/firefox-32-supports-public-key-pinning.html
[22] SecurityEngineering/Public Key Pinning - MozillaWiki (2015-06-06 18:41:53 +09:00 版) https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning

[18] 既知ピン付きホストの情報は fingerprinting vector となります。

[19] 利用者エージェントは既知ピン付きホストの情報を消去する仕組み >>17, >>20 や現在の状態を表示する仕組み >>20 を利用者に提供してもよいかもしれませんadvisable。