Eu simplesmente não posso acreditar que isso seja tão difícil de determinar.
Mesmo tendo lido as RFCs, não está claro para mim se um servidor em subdomain.example.com pode definir um cookie que possa ser lido por example.com.
subdomain.example.com pode definir um cookie cujo atributo de domínio seja .example.com. A RFC 2965 parece declarar explicitamente que tal cookie não será enviado para example.com, mas também diz que se você definir Domain = example.com, um ponto será acrescentado, como se você tivesse dito .example.com. Juntos, isso parece dizer que, se example.com retornar um cookie com Domain = example.com, ele não recuperará esse cookie! Isso não pode estar certo.
Alguém pode esclarecer quais são realmente as regras?