RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

11.3. Использование HSTS совместно с сертификатом самоподписываемого общедоступного ключа

Если выполнены все четыре следующих условия, то ...

  • web сайт/организация/предприятие для обеспечения безопасности канала генерируют свои собственные сертификаты открытых ключей для web-сайтов,
  • и сертификат корневого центра сертификации организации (CA) обычно не записывается в браузер по-умолчанию и/или в хранилище сертификатов операционной системы CA,
  • и политика HSTS на компьютере активна, идентифицирует себя с помощью сертификата, подписанного CA организации (то-есть, "самоподписанный сертификат"),
  • и этот сертификат не соответствует используемой ассоциации сертификатов TLS (как это определено в разделе 4 спецификации TLSA-протокола [RFC-6698]),

... далее безопасное соединение с этим сайтом будет разорвано, по инициативе HSTS. Это защищает от различных активных атак, как это было обсуждено выше.

Однако, если оговоренная организация хочет использовать свой собственный CA, и самоподписанные сертификаты, во взаимодействии с HSTS, она может это делать путем использования своего сертификата корневого CA в своих браузерах или в хранилище сертификатов операционной системы. Она может также, кроме того или в дополнение, разослать своим браузерам пользователей последние сертификаты для определенных компьютеров. Существуют разные пути того, как это можно осуществить. Раз сертификат корневого CA установлен в его браузере, его может использовать политика HSTS на своих сайтах.

В противном случае, эта организация может применить TLSA-протокол; все браузеры, которые также используют TLSA смогут доверять сертификатам, идентифицированным ассоциацией TLS-сертификатов, как это задано TLSA.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.