Passa al contenuto principale

1. Introduction (Introduzione)

HTTP [RFC2616] può operare su vari trasporti, tipicamente il Transmission Control Protocol (TCP). Tuttavia, TCP non fornisce protezione dell'integrità del canale, riservatezza o identificazione sicura dell'host. Pertanto, il protocollo Secure Sockets Layer (SSL) [RFC6101] e il suo successore, Transport Layer Security (TLS) [RFC5246], sono stati sviluppati per fornire sicurezza orientata al canale, tipicamente stratificata tra i protocolli applicativi e TCP.

Gli UAs impiegano varie politiche di sicurezza locali quando interagiscono con risorse web, le cui caratteristiche dipendono in parte dal fatto che stiano comunicando con l'host di una determinata risorsa web utilizzando HTTP o HTTP-su-Trasporto-Sicuro.

Gli UAs tipicamente annunciano ai loro utenti eventuali problemi con la stabilire in modo sicuro una connessione, come l'incapacità di convalidare una catena di fiducia del certificato del server TLS. Spesso, gli UAs consentono ai loro utenti di scegliere di continuare a interagire con l'host di una risorsa web di fronte a tali problemi. Questo comportamento è stato informalmente definito "click-through insecurity".

Questa specifica incarna e affina l'approccio proposto in [ForceHTTPS]. Definisce un campo di intestazione di risposta HTTP per le politiche e consente a un host di risorse web di dichiarare che la sua politica si applica all'intero sottoalbero del nome di dominio.

1.1 Organization of This Specification (Organizzazione di questa Specifica)

Questa specifica inizia con una panoramica dei casi d'uso, degli effetti delle politiche, del modello di minaccia e dei requisiti per HSTS (nella Sezione 2). La Sezione 3 definisce quindi i criteri di conformità. Il meccanismo HSTS stesso è formalmente specificato nelle Sezioni da 5 a 15.

1.2 Document Conventions (Convenzioni del Documento)

NOTA: Questa è una nota per i lettori. Questi sono punti che dovrebbero essere tenuti a mente e/o presi in considerazione.

Ultimo aggiornamento il