私はsub.domain.tldに2ヶ月の有効期限とincludeSubdomainsフラグがあるHPKP固定ドメインを持っています。HPKPサブドメインのピン配置は相対的ですか?
固定されていない別の証明書を使用して、sub2.domain.tldがまだ動作していることに気付きました。
includeSubdomainsは、ヘッダを送信するドメインに
相対的で、かつdomain.tldのすべてのサブドメインをカバーしていないことを意味するのでしょうか? I.e.私はsubsub.sub.domain.tld上記の設定で別の証明書でHPKPの検証を失敗すると仮定しますが、sub2.domain.tldは動作します。
これは間違いありませんか?
はい、すべて正しいです。サブドメインへのアクセス権を持つ人は、トップレベルのドメインにアクセスできると想定してはいけません。逆も想定できます。
元々考えていたように動作した場合、user1.example.comの誰でもuser2.example.comサイトを直接破損する可能性があります。
すべてのサブドメインを固定する場合は、最上位ドメインとサブドメインでHPKPポリシーを設定する必要があります。ほとんどのユーザーは通常トップレベルのドメインにアクセスしないため、このポリシーを選択しないため、この問題を回避するには、サブドメインのトップレベルドメインからリソースをロードして、トップレベルドメイン。私は、たとえそのリソースがあなたのサブドメインにリダイレクトされたとしてもうまくいくと思います。
たとえば、https://www.example.comにアクセスすると、https://example.com/icon.jpgのようなものをロードして、ロードしようとするとhttps://www.example.com/icon.jpgにリダイレクトする場合でも、このポリシーをトップレベルから選択する必要があります。
