Estou usando o HSTS com este cabeçalho no meu site:
Strict-Transport-Security: max-age=15768000; includeSubDomains
Isso funciona como previsto e força o navegador a redirecionar todas as conexões http para https.
Na documentação do link , não encontrei uma maneira de excluir subdomínios especificados!
Eu já tentei adicionar max-age=0 para o subdomínio, mas ele não sobrescreve includeSubDomains
É possível excluir subdomínios da regra includeSubDomains ?
Ou é a única maneira de remover essa regra e apenas usar o cabeçalho HSTS para alguns sites?
PS: Meu servidor é o NGINX e testei o comportamento com o firefox e o chrome.
Não:
Acho que um dos pontos de includeSubdomains é garantir que não seja possível a um invasor seqüestrar cookies, etc., forçando o usuário final a carregar um subdomínio sobre http e, em seguida, sobre eles. Se houvesse mesmo uma exceção para includeSubdomains , seria inútil (assumindo que o invasor possa descobrir qual é a exceção).
Tags nginx https http-headers