sub.domain.tld2 か月の有効期限とincludeSubdomainsフラグが存在する HPKP 固定ドメインがあります。
sub2.domain.tldピン留めされていない別の証明書を使用しても機能することに気付きました。
これは、がヘッダーを送信しているドメインに関連しており、 のすべてのサブドメインをカバーしていないということincludeSubdomainsですか?domain.tld
subsub.sub.domain.tldつまり、上記の構成で別の証明書を使用して HPKP 検証に失敗すると仮定しますがsub2.domain.tld、機能します。
これは正しいです?
はい、すべて正しいです。サブドメインにアクセスできる人がトップ レベル ドメインにアクセスできると想定すべきではありませんが、逆の場合は想定できます。
当初考えていたように機能した場合、user1.example.com の誰もが user2.example.com サイトを直接破ることができます。
すべてのサブドメインを固定する場合は、HPKP ポリシーをトップ レベル ドメインとサブドメインで設定する必要があります。通常、ほとんどのユーザーはトップ レベル ドメインにアクセスしないため、このポリシーを取得しません。そのため、これを回避するには、サブドメインのトップ レベル ドメインからリソースをロードして、効果的にトップ レベル ドメインにアクセスできるようにすることをお勧めします。 . そのリソースがサブドメインにリダイレクトされても、これは機能すると思います。
たとえば、 https://www.example.com にアクセスする場合は、 https: //example.com/icon.jpgのようなものをロードして、トップ レベルからこのポリシーを取得する必要があります。 ://www.example.com/icon.jpg。
