Passa al contenuto principale

5. HSTS Mechanism Overview (Panoramica del Meccanismo HSTS)

Questa sezione fornisce una panoramica del meccanismo mediante il quale gli host HSTS comunicano la loro politica HSTS agli UA e come gli UA elaborano le politiche HSTS ricevute dagli host HSTS. I dettagli del meccanismo sono specificati nelle sezioni da 6 a 15.

5.1. HSTS Host Declaration (Dichiarazione Host HSTS)

Un host HTTP si dichiara come host HSTS emettendo una politica HSTS agli UA, rappresentata dal campo di intestazione di risposta HTTP Strict-Transport-Security e comunicata tramite un trasporto sicuro (ad esempio, TLS). Dopo che un UA conforme ha ricevuto ed elaborato questo campo di intestazione senza errori, il UA tratta l'host come un host HSTS conosciuto (Known HSTS Host).

5.2. HSTS Policy (Politica HSTS)

Una politica HSTS indica agli UA di comunicare solo con un host HSTS conosciuto tramite trasporto sicuro e specifica la durata di conservazione della politica.

Una politica HSTS sovrascrive esplicitamente l'elaborazione da parte del UA dei riferimenti URI, degli input utente (ad esempio, tramite la "barra degli indirizzi"), o di altre informazioni che, in assenza di una politica HSTS, potrebbero indurre gli UA a comunicare in modo non sicuro con un host HSTS conosciuto.

Una politica HSTS può includere una direttiva opzionale -- includeSubDomains -- che specifica che questa politica HSTS si applica anche a tutti gli host i cui nomi di dominio sono sottodomini del nome di dominio dell'host HSTS conosciuto.

5.3. HSTS Policy Storage and Maintenance by User Agents (Memorizzazione e Manutenzione della Politica HSTS da parte degli Agenti Utente)

Gli UA memorizzano e indicizzano le politiche HSTS esclusivamente sulla base del nome di dominio dell'host HSTS emittente.

Ciò significa che gli UA mantengono la politica HSTS di un dato host HSTS separatamente da qualsiasi politica HSTS emessa da qualsiasi altro host HSTS i cui nomi di dominio sono domini padre o sottodomini del nome di dominio del dato host HSTS. Solo il dato host HSTS può aggiornare o causare l'eliminazione della sua politica HSTS emessa. Lo fa inviando agli UA un campo di intestazione di risposta HTTP Strict-Transport-Security con nuovi valori per la durata temporale della politica e l'applicabilità ai sottodomini. Pertanto, gli UA memorizzano nella cache le informazioni sulla politica HSTS "più recenti" per conto dell'host HSTS. Specificare una durata temporale pari a zero segnala al UA di eliminare la politica HSTS per quell'host HSTS (inclusa qualsiasi direttiva includeSubDomains asserita). Vedere la sezione 8.1 ("Strict-Transport-Security Response Header Field Processing") per ulteriori dettagli. Inoltre, la sezione 6.2 presenta esempi del campo di intestazione di risposta HTTP Strict-Transport-Security.

5.4. User Agent HSTS Policy Enforcement (Applicazione della Politica HSTS da parte dell'Agente Utente)

Quando viene stabilita una connessione HTTP a un dato host, indipendentemente da come viene attivata, il UA controlla la sua cache di host HSTS conosciuti per vedere se esistono host i cui nomi di dominio sono domini padre del nome di dominio del dato host. Se ne viene trovato qualcuno e uno di questi asserisce la direttiva includeSubDomains, allora la politica HSTS si applica al dato host. Altrimenti, la politica HSTS si applica al dato host solo se il dato host stesso è conosciuto dal UA come host HSTS. Vedere la sezione 8.3 ("URI Loading and Port Mapping") per ulteriori dettagli.

Ultimo aggiornamento il