-
Notifications
You must be signed in to change notification settings - Fork 4
/
31.txt
78 lines (54 loc) · 3.94 KB
/
31.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
[1] [[HSTS]] や [[PKP]] の [DFN[[CODE(HTTP)@en[[[includeSubDomains]]]]]] [[指令]]は、
当該 [[HSTSポリシー]]/[[Pinning Policy]]が[[サブドメイン]]をも含めて適用されることを表します。
* 仕様書
[REFS[
- [2] '''[CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]] ([TIME[2014-06-02 05:16:10 +09:00]] 版) <http://tools.ietf.org/html/rfc6797#section-6.1.2>'''
- [7] [CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]]
( ([TIME[2014-06-02 05:16:10 +09:00]] 版))
<http://tools.ietf.org/html/rfc6797#section-11.4>
- [8] [CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]]
( ([TIME[2014-06-02 05:16:10 +09:00]] 版))
<http://tools.ietf.org/html/rfc6797#section-14.4>
- [13] '''[CITE@en[RFC 7469 - Public Key Pinning Extension for HTTP]] ([TIME[2015-05-05 21:00:37 +09:00]] 版) <https://tools.ietf.org/html/rfc7469#section-2.1.3>'''
- [16] [CITE@en[RFC 7469 - Public Key Pinning Extension for HTTP]] ([TIME[2015-05-05 21:00:37 +09:00]] 版) <https://tools.ietf.org/html/rfc7469#section-4.2>
]REFS]
* 意味
[5] [[HSTS]] でこの[[指令]]があれば、[[HSTSポリシー]]が[[HSTSホスト]]とその[[ドメイン]]の[[サブドメイン]]の両方に適用されることを表します
[SRC[>>2]]。
[6] [[HSTS]] でこの[[指令]]がなければ、[[HSTSポリシー]]は[[HSTSホスト]]のみに適用されます。
[14] [[PKP]] でこの[[指令]]があれば、[[Pinning Policy]] が当該ホストとその[[ドメイン]]の[[サブドメイン]]の両方に適用されることを表します [SRC[>>13]]。
* 文脈
[3] この[[指令]]は省略可能です。 [SRC[>>2, >>13]]
* 値
[4] この[[指令]]は値を持ちません [SRC[>>2, >>13]]。
* 処理
[17] [[HSTS]]、[[PKP]] を参照。
[18] [[サブドメイン]]に当たる[[ドメイン]]が異なる [[PKP]] を指定している場合に
[CODE(HTTP)@en[[[includeSubDomains]]]] を使うと、[[クライアント]]が接続する順序によって動作が異なってくる場合があります。
例えば [CODE[hoge.example.com]] の [[PKP]] と [CODE[example.com]] の
[CODE(HTTP)@en[[[includeSubDomains]]]] 付き [[PKP]] で異なる[[ピン]]が指定されていると、
[CODE[example.com]] に先に接続すると後から [CODE[hoge.example.com]]
に接続できないかもしれません。 [SRC[>>16]]
* 関連
[15] [CODE[[[report-uri]]]] で指定された [[URL]] に送信される [[JSON]]
では、 [DFN[[CODE[[[include-subdomains]]]]]] に本[[指令]]が指定されていたかどうかを記述します。
;; [CODE[[[report-uri]]]] を参照。
* メモ
[9] [[STS]] は当該[[ホスト]]かその[[サブドメイン]]かに適用する[[HSTSポリシー]]しか記述できませんから、
[CODE(HTTP)@en[[[Set-Cookie:]]]] で [CODE(HTTP)@en[[[Domain]]=[[com]]]] のような指定ができてしまうような問題は生じません。
[12] でも [[TLD]] の管理者が [[HSTS]] を有効にできたりしますが、いいのでしょうかね。
[[Public Suffix List]] の階層では指定できないべきな気がしますが。
[10] [CITE[IRC logs: freenode / #whatwg / 20140907]]
( ([TIME[2014-09-09 02:05:50 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20140907#l-237>
[11] [CITE[IRC logs: freenode / #whatwg / 20140916]]
( ([TIME[2014-09-17 11:31:47 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20140916>
[FIG(quote)[
[FIGCAPTION[
[19] [CITE@en[Strict Transport Security - IEInternals - Site Home - MSDN Blogs]]
([TIME[2015-06-06 23:48:36 +09:00]] 版)
<http://blogs.msdn.com/b/ieinternals/archive/2014/08/18/hsts-strict-transport-security-attacks-mitigations-deployment-https.aspx>
]FIGCAPTION]
> One exciting possibility is that some of the many new Top-Level-Domains may opt-in for their entire TLD tree, such that every single site under that domain (e.g. anexample1.secure, otherexample2.secure, etc) are all automatically protected.
]FIG]