Какой список предварительной загрузки HSTS используется каким браузером?
Я читал различную информацию о Google и Firefox, используя список предварительной загрузки HSTS.
- похоже, что здесь есть общий список: https://hstspreload.org/
- и что Chrome использует один из Chromium здесь: https://www.chromium.org/hsts/
- и Firefox использует его здесь: https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc
Использует ли Safari или Opera список предварительной загрузки HSTS? Который из? Какова связь между 3 списками, приведенными выше?
Спасибо
2 ответа
Главный главный список defacto для HSTS управляется Chromium / Google по адресу https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json.
Список браузеров, поддерживающих HSTS (и предположительно имеющих списки предварительной загрузки), можно найти в Википедии. Будучи закрытым источником, информация о том, как Opera, Safari, IE и т. Д. Обрабатывают свои предварительно загруженные списки, кажется недоступной.
Microsoft Edge Team заявляет в своем блоге, что
Как и другие браузеры, в которых реализована эта функция, Microsoft Edge и Internet Explorer 11 основывают свой список предварительной загрузки на списке предварительной загрузки Chromium HSTS.
Для Firefox список в https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc генерируется файлом https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/tools/getHSTSPreloadList.js, который мы видим из строки
const SOURCE = "https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json?format=TEXT";
что это просто клон "основного списка", проанализированный в формате Firefox. Все, что он делает, - это дополнительный проверочный прогон для каждого домена в списке, который должен быть доступен и иметь требуемый заголовок HSTS (подключаясь к нему; что, похоже, делается ежедневно, из журнала vcs).
Palemoon следует этой процедуре, и, вероятно, другие поставщики браузеров делают то же самое. Так что, похоже, отношения между вашими списками: есть только один.
С вашей первой ссылки:
Большинство основных браузеров (Chrome, Firefox, Opera, Safari, IE 11 и Edge) также имеют списки предварительной загрузки HSTS на основе списка Chrome. (См. Матрицу совместимости HSTS.)