u2f dev ガイドは、この部分を未指定のままにしています: www プレフィックスでサイトにアクセスする訪問者に対して、www プレフィックスのない単一ファセット AppId は機能しますか? ブラウザーはそれらを一致と見なしますか?
そうでない場合、U2F 展開には 2 つの選択肢があると思いますが、どちらもあまり快適な IMO ではありません。その理由を以下に説明します。
- すべての Web ユーザーを www.example.com から example.com にリダイレクトしてから、「example.com」ファセットを使用します。
- 少なくとも 2 つのファセットを記述する JSON リソースを提供します: www.example.com、example.com
さて、私は「www.」に対処しなければならないと言いました。明らかに快適ではありません。私の理論的根拠は、単一サイトの SSL 証明書 (EV 証明書のようなより厳格な証明書を含む) は、Web ユーザーに対して透過的に www プレフィックス URL を処理するというものです。U2F がこれをセキュリティ ホールと見なし、明示的な対処方法を要求する理由がわかりません。