[1] HSTS や PKP の includeSubDomains 指令 は、
当該 HSTSポリシー /Pinning Policy がサブドメイン をも含めて適用されることを表します。
仕様書 [2] RFC 6797 - HTTP Strict Transport Security (HSTS) (2014-06-02 05:16:10 +09:00 版) http://tools.ietf.org/html/rfc6797#section-6.1.2 [7] RFC 6797 - HTTP Strict Transport Security (HSTS)
( (2014-06-02 05:16:10 +09:00 版))
http://tools.ietf.org/html/rfc6797#section-11.4 [8] RFC 6797 - HTTP Strict Transport Security (HSTS)
( (2014-06-02 05:16:10 +09:00 版))
http://tools.ietf.org/html/rfc6797#section-14.4 [13] RFC 7469 - Public Key Pinning Extension for HTTP (2015-05-05 21:00:37 +09:00 版) https://tools.ietf.org/html/rfc7469#section-2.1.3 [16] RFC 7469 - Public Key Pinning Extension for HTTP (2015-05-05 21:00:37 +09:00 版) https://tools.ietf.org/html/rfc7469#section-4.2 意味 [5] HSTS でこの指令 があれば、HSTSポリシー がHSTSホスト とそのドメイン のサブドメイン の両方に適用されることを表します
>>2
[6] HSTS でこの指令 がなければ、HSTSポリシー はHSTSホスト のみに適用されます。
[14] PKP でこの指令 があれば、Pinning Policy が当該ホストとそのドメイン のサブドメイン の両方に適用されることを表します >>13
文脈 [3] この指令 は省略可能です。 >>2 , >>13
値 [4] この指令 は値を持ちません >>2 , >>13
処理 [17] HSTS 、PKP を参照。
[18] サブドメイン に当たるドメイン が異なる PKP を指定している場合に
includeSubDomains クライアント が接続する順序によって動作が異なってくる場合があります。
例えば hoge.example.com の PKP と example.com の
includeSubDomains PKP で異なるピン が指定されていると、
example.com に先に接続すると後から hoge.example.com
に接続できないかもしれません。 >>16
関連 [15] report-uri URL に送信される JSON
では、 include-subdomains 指令 が指定されていたかどうかを記述します。
report-uri メモ [9] STS は当該ホスト かそのサブドメイン かに適用するHSTSポリシー しか記述できませんから、
Set-Cookie: Domain =com
[12] でも TLD の管理者が HSTS を有効にできたりしますが、いいのでしょうかね。
Public Suffix List の階層では指定できないべきな気がしますが。
[10] IRC logs: freenode / #whatwg / 20140907
( (2014-09-09 02:05:50 +09:00 版))
http://krijnhoetmer.nl/irc-logs/whatwg/20140907#l-237
[11] IRC logs: freenode / #whatwg / 20140916
( (2014-09-17 11:31:47 +09:00 版))
http://krijnhoetmer.nl/irc-logs/whatwg/20140916
[19] Strict Transport Security - IEInternals - Site Home - MSDN Blogs
(2015-06-06 23:48:36 +09:00 版)
http://blogs.msdn.com/b/ieinternals/archive/2014/08/18/hsts-strict-transport-security-attacks-mitigations-deployment-https.aspx
One exciting possibility is that some of the many new Top-Level-Domains may opt-in for their entire TLD tree, such that every single site under that domain (e.g. anexample1.secure, otherexample2.secure, etc) are all automatically protected.
[20] Drop 'includeSubdomains'. · w3c/webappsec-clear-site-data@19b9eb1
(2015-10-07 13:46:15 +09:00 版)
https://github.com/w3c/webappsec-clear-site-data/commit/19b9eb195433b87458f65e31523bb37c48cda649