RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

11.4. Смысл includeSubDomains

Директива includeSubDomains имеет практические последствия, достойные тщательного рассмотрения; ниже предлагаются примеры сценариев:

  • HSTS-компьютер предлагает небезопасные HTTP-сервисы на альтернативные порты или при различных субдоменах доменного имени HSTS-компьютера.

  • Отдельные web-приложения предлагают отдельные субдомены HSTS-компьютера, такие, что агенты пользователя часто взаимодействуют с этими субдоменными web-приложениями без необходимости взаимодействия с web-приложением, предлагаемым доменным именем HSTS-компьютера.

11.4.1. Соображения о небезопасных HTTP-сервисах на альтернативных портах или субдоменах HSTS-компьютера

Например, центры сертификации часто предлагают свою рассылку списков аннулирования сертификатов и OCSP-сервисы [RFC-2560] через обычный HTTP, и иногда через субдомен публично доступного web-приложения, безопасность которого обеспечивается TLS/SSL. Например, <https://ca.example.com/> является публично доступным web-приложением для сертификационного центра "Example CA". Клиенты используют это web-приложение для регистрации своих общедоступных ключей и для получения сертификатов. "Example CA" генерирует сертификаты для клиентов, содержащих <http://crl-and-ocsp.ca.example.com/> в качестве значения для "CRL Distribution Points" и "Authority Information Access:OCSP" полей сертификата.

Если бы ca.example.com сформулировал политику HSTS с директивой includeSubDomains, тогда агенты пользователя HTTP, использующие HSTS, которые взаимодействуют с web-приложением ca.example.com, не смогли бы получить список CRL и не смогли проверить OCSP для сертификатов, так как эти сервисы предлагаются напрямую через HTTP.

В этом случае, Example CA может либо:

  • не использовать директиву includeSubDomains,
  • или гарантировать, что сервис на основе HTTP, предлагаемый субдоменами ca.example.com, доступны также через TLS/SSL,
  • или предложить HTTP-сервис для альтернативного доменного имени, напр., crl-and-ocsp.ca.example.NET,
  • или использовать альтернативный подход для рассылки статусной информации сертификата, исключая необходимость рассылки CRL и OCSP-сервисов через HTTP (напр., "Certificate Status Request" TLS расширений [RFC-6066], часто называемых "OCSP Stapling").
2007 - 2017 © Русские переводы RFC, IETF, ISOC.