¿Puedo activar HSTS para 1 subdominio?

Me gustaría aplicar HSTS para solo 1 subdominio, pero no para todo el dominio, ¿es esto posible?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

ssl http https

— más asqueroso
fuente

Lectura recomendada: la página de Wikipedia y el RFC en sí . Hay un código de implementación para varios servidores web en la página de Wikipedia y la respuesta a su pregunta en el RFC .

— Ladadadada

@Ladadadada, excepto que el RFC no es lo suficientemente claro sobre dominios. En esta pregunta, ¿el dominio es siempre yyy.com, o la emisión de un encabezado sts de xxx.yyy.com solo se aplica a * .xxx.yyy.com (y por lo tanto trata xxx.yyy.com como el "dominio")?

— bvgheluwe

Si.

Envíe el Strict-Transport-Securityencabezado solo para xxx.yyy.comy no especifique includeSubDomains.
Los navegadores que manejan correctamente HSTS solo establecerán el requisito para el subdominio especificado ( xxx.yyy.com) en este caso.

— voretaq7
fuente

Sólo por curiosidad, ¿qué pasaría si el Strict-Transport-Securityen xxx.yyy.com sí incluirá el includeSubDomains? ¿Eso no solo afectaría *.xxx.yyy.com?

— Aaron Gibralter

@AaronGibralter Eso es lo que entiendo (y mi interpretación de la pregunta original fue " solo para xxx.yyy.com" y es por eso que dije que no se estableciera includeSubDomains): si desea que los subdominios xxx.yyy.comtambién impongan HSTS, debe configurarlo includeSubDomainsen el encabezado.

— voretaq7

Si includeSubDomainsestá presente xxx.yyy.com, *.yyy.com¿ afectará también ? (es decir, se romperá zzz.yyy.comsi no entretiene HTTPS)?

— mg007

Puedo confirmar esto. Mi banco tiene www.bank.com y homebanking.bank.com. Esas son entradas separadas en la lista de hsts del navegador y se crean independientemente una de la otra. La lista de hsts de Chrome se puede buscar a través de chrome: // net-internals / # hsts -> "Consultar dominio HSTS / PKP" (tenga en cuenta que es una búsqueda exacta: "banco" no arrojó un resultado).

— bvgheluwe