RFC: 6797
Оригинал: HTTP Strict Transport Security (HSTS)
Категория: Предложенный стандарт
Дата публикации:
Авторы: , ,
Перевод: Семенов Юрий Алексеевич

Приложение A. Устройство узлов принятия решений

В этом приложении рассмотрены документы для различных системных решений.

  1. Куки не подходят для выражения политики HSTS, так как они являются переменными (из-за записи в агенте пользователя); следовательно, поле заголовка HTTP должно использоваться.

  2. Мы решили не пытаться специфицировать то, как "mixed security context loads" (известный также как "mixed content loads") обрабатываются, из-за соображений реализации агента пользователя, а также из-за трудностей классификации.

  3. HSTS-компьютер может обновить нотации политики HSTS агента пользователя с помощью значений поля заголовка HSTS. Мы выбираем вариант, когда агенты пользователя получают самую свежую информацию от сервера, так как имеется шанс для web-сайта послать некорректную политику HSTS, такую как многолетнее значение max-age, и/или некорректную директиву includeSubDomains. Если HSTS-компьютер не может скорректировать эти ошибки в рамках протокола, это потребует некоторого вмешательства в пользовательскую часть программы, которое может оказаться нетривиальной проблемой для провайдеров web-приложения и их пользователей.

  4. HSTS-компьютеры идентифицируются с помощью доменных имен — идентификация по IP-адресам в любой форме исключена. Это сделано для простоты, а также для распознавания различных проблем при использовании прямой идентификации по IP-адресу в концепции безопасности, основанной на PKI.

  5. Подход max-age, когда HSTS-компьютер предоставляет простое целое число секунд для времени жизни кэшированной политики HSTS, в отличие от подхода с абсолютныи моментом истечения пригодности в будущем, был выбран по разным причинам. Среди причин можно назвать отсутствие необходимости синхронизации часов, отсутствие требования определения синтаксиса даты и времени (простота спецификации), и простота реализации.

  6. При выборе привязки портов, рассматривается опция полного отказа разыменования любых URL с портом. Создается ощущение, что возможность разыменования URI не является корректной.

2007 - 2017 © Русские переводы RFC, IETF, ISOC.