Проверяет ли заголовки ответа веб-сайтов (т.е. ищет заголовок Strict-Transport-Security) правильный ответ на вопросы: поддерживает ли веб-сайт политику HSTS?
Да.
Потому что есть предварительно загруженный список.Я не уверен: может ли веб-сайт подписаться на список без отправки заголовка HSTS?т.е. может ли веб-сайт поддерживать политику HSTS без отправки заголовка Strict-Transport-Security?
Технически они могут.Однако тогда они подлежат удалению из списка предварительной загрузки.Кроме того, не все браузеры поддерживают предварительную загрузку (хотя и основные), и они не все используют один и тот же список предварительной загрузки.Таким образом, заголовок является обязательным, и список является необязательным дополнением.
Может кто-нибудь уточнить мне.Во-первых, слово «предложить» на странице Chrome не совсем понятно.Это обязательно?или необязательно?
Как правило, правила ОБЯЗАНЫ, и они не будут автоматически приняты в список, если правила не будут соблюдены, и они могут быть удалены из списка предварительной загрузки.Однако правила созданы для того, чтобы их нарушать, и вы можете запросить добавление вручную, если хотите.Например, https://gov.uk (правительство Великобритании) находится в списке предварительной загрузки, но без атрибута includeSubDomain в заголовке HSTS.Вероятно, это связано с тем, что они еще не преобразовали все свои субдомены в HTTPS, но все же хотят защитить предварительную загрузку для этого важного сайта верхнего уровня.Не все из нас имеют влияние на правительство Великобритании, поэтому для остальных лучше следовать всем правилам и автоматически отправлять.
Во-вторых, если это необходимо, то, если веб-сайтесли вы хотите подписаться на список, ему все равно нужно отправить заголовок HSTS, почему он подписывается на список?Является ли этот список просто средством защиты первого соединения (которое не может быть защищено методом заголовка HSTS)?или это средство двойной проверки или что-то в этом роде?Пожалуйста, уточните мне.
Верно.Предварительная нагрузка предназначена для защиты первой нагрузки.Без этого браузер не видел заголовок HSTS и поэтому не знает, что сайт поддерживает HSTS.
Если честно, я думаю, что предварительная загрузка для большинства сайтов излишня, и мне очень не нравится концепция жесткого кодирования ввывести его из-под контроля, и это может быть ножом, как я обсуждаю в этом блоге .В целом (но не всегда!) Первый запрос является относительно безопасным (поскольку у вас нет файлов cookie), и если вы используете методы безопасного веб-сайта (Secure, HTTPOnly cookie, HSTS и перенаправление на HTTPS), риски относительно низкие.Однако, если вы являетесь всемирно известным сайтом (например, правительством Великобритании), тогда предварительная загрузка обеспечивает наилучшую защиту.
Суть вопроса: достаточно ли мне проверить заголовки, чтобы сказать,данный веб-сайт поддерживает политику HSTS или нет, не проверяя веб-сайт по предварительно загруженному списку Chrome?
В значительной степени, как обсуждалось выше.Хотя у вас могут быть некоторые крайние случаи, когда он был (есть?) Все еще предварительно загружен, но прекратил публикацию заголовка.Это зависит от того, почему именно вам НУЖНО знать, используется ли HSTS или нет.
Если требуется проверка веб-сайта по предварительно загруженному списку HSTS в Chrome, не могли бы вы указать мне, как автоматизировать это (яне могу выполнить это вручную, так как у меня есть список сайтов, а не один или два).Кроме того, как проверить веб-сайт по списку определенной даты в прошлом (несколько месяцев назад).
Вам нужно будет проверить это по исходному коду HSTS ,и посмотрите на исторические версии этого списка.Не то чтобы другие браузеры не могли использовать этот же список .Для проверки текущего состояния одного или двух сайтов вручную такие инструменты, как SSLLabs или Hardenize , обычно анализируют этот список для вас.