我有一个 HPKP 固定域,sub.domain.tld有效期为 2 个月,并且includeSubdomains存在标志。
我现在注意到sub2.domain.tld,使用未固定的不同证书仍然有效。
这是否意味着includeSubdomains相对于发送标头的域,并且不涵盖 的所有子域domain.tld?
即,我假设subsub.sub.domain.tld使用具有上述配置的不同证书无法通过 HPKP 验证,但sub2.domain.tld可以正常工作。
这个对吗?
是的,这都是正确的。不应假设有权访问子域的人可以访问顶级域 - 尽管可以假设相反。
如果它按照您最初的想法工作,那么 user1.example.com 上的任何人都可以直接破坏 user2.example.com 站点。
如果要固定所有子域,则应在顶级域和子域中设置 HPKP 策略。由于大多数用户通常不会访问顶级域,因此他们不会选择此策略,因此要解决此问题,您最好从子域中的顶级域加载资源,以便他们有效地访问您的顶级域. 我认为即使该资源被重定向到您的子域,这仍然有效。
例如,如果访问https://www.example.com,您应该加载类似https://example.com/icon.jpg的内容以从顶层获取此策略,即使尝试加载会导致重定向到https ://www.example.com/icon.jpg。
