Posso ativar o HSTS para 1 subdomínio

Gostaria de aplicar o HSTS para apenas 1 subdomínio, mas não para todo o domínio, isso é possível?

xxx.yyy.com -> HSTS on
zzz.yyy.com -> HSTS off
    yyy.com -> HSTS off

ssl http https

— mais grosseiro
fonte

Leitura recomendada: A página da Wikipedia e a própria RFC . Há código de implementação para vários servidores web na página da Wikipedia e a resposta para sua pergunta na RFC .

— Ladadadada

@Ladadadada, exceto que o RFC não é claro o suficiente sobre os domínios. Nesta pergunta, o domínio é sempre yyy.com, ou a emissão de um cabeçalho sts de xxx.yyy.com se aplica apenas a * .xxx.yyy.com (e, portanto, trata xxx.yyy.com como o "domínio")?

— bvgheluwe 25/09/19

Sim.

Envie o Strict-Transport-Securitycabeçalho apenas para xxx.yyy.come não especifique includeSubDomains.
Os navegadores que lidam corretamente com o HSTS apenas definirão o requisito para o subdomínio especificado ( xxx.yyy.com) nesse caso.

— voretaq7
fonte

Só estou curioso, o que aconteceria se o Strict-Transport-Securitysobre xxx.yyy.com fez incluem o includeSubDomains? Isso não afetaria apenas *.xxx.yyy.com?

— Aaron Gibralter

@AaronGibralter Essa é a minha compreensão (e minha interpretação da pergunta original foi " apenas para xxx.yyy.com", e é por isso que eu disse para não definir includeSubDomains) - Se você deseja que os subdomínios xxx.yyy.comtambém imponham o HSTS, defina includeSubDomainso cabeçalho.

— voretaq7

Se includeSubDomainsestiver presente xxx.yyy.com, também afetará *.yyy.com? (ou seja, ele será interrompido zzz.yyy.comse não receber HTTPS)?

— MG007

Eu posso confirmar isso. Meu banco tem www.bank.com e homebanking.bank.com. Essas são entradas separadas na lista de hsts do navegador e são criadas independentemente uma da outra. A lista de hsts do Chrome pode ser pesquisada no chrome: // net-internals / # hsts -> "Query HSTS / PKP domain" (lembre-se de que é uma pesquisa exata: "bank" não produziu resultado).

— bvgheluwe 25/09/19