31.txt

[1] [[HTTP]] の [DFN[[CODE(HTTP)@en[[[Strict-Transport-Security:]]]]]]
[[ヘッダー]]の [DFN[[CODE(HTTP)@en[[[includeSubDomains]]]]]] [[指令]]は、
当該 [[HSTSポリシー]]が[[サブドメイン]]をも含めて適用されることを表します。

* 仕様書

[REFS[
- [2] '''[CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]] ([TIME[2014-06-02 05:16:10 +09:00]] 版) <http://tools.ietf.org/html/rfc6797#section-6.1.2>'''
- [7] [CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]]
( ([TIME[2014-06-02 05:16:10 +09:00]] 版))
<http://tools.ietf.org/html/rfc6797#section-11.4>
- [8] [CITE@en[RFC 6797 - HTTP Strict Transport Security (HSTS)]]
( ([TIME[2014-06-02 05:16:10 +09:00]] 版))
<http://tools.ietf.org/html/rfc6797#section-14.4>
]REFS]

* 文脈

[3] この[[指令]]は省略可能です。 [SRC[>>2]]

* 値

[4] この[[指令]]は値を持ちません [SRC[>>2]]。

* 意味

[5] この[[指令]]があれば、[[HSTSポリシー]]が[[HSTSホスト]]とその[[ドメイン]]の[[サブドメイン]]の両方に適用されることを表します
[SRC[>>2]]。

[6] この[[指令]]がなければ、[[HSTSポリシー]]は[[HSTSホスト]]のみに適用されます。

* メモ

[9] [[STS]] は当該[[ホスト]]かその[[サブドメイン]]かに適用する[[HSTSポリシー]]しか記述できませんから、
[CODE(HTTP)@en[[[Set-Cookie:]]]] で [CODE(HTTP)@en[[[Domain]]=[[com]]]] のような指定ができてしまうような問題は生じません。

[12] でも [[TLD]] の管理者が [[HSTS]] を有効にできたりしますが、いいのでしょうかね。
[[Public Suffix List]] の階層では指定できないべきな気がしますが。

[10] [CITE[IRC logs: freenode / #whatwg / 20140907]]
( ([TIME[2014-09-09 02:05:50 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20140907#l-237>

[11] [CITE[IRC logs: freenode / #whatwg / 20140916]]
( ([TIME[2014-09-17 11:31:47 +09:00]] 版))
<http://krijnhoetmer.nl/irc-logs/whatwg/20140916>