Как проверить список wesbites против заголовков HSTS?

Позволяет ли проверка заголовков ответов веб-сайтов (т. Е. Искать заголовок Strict-Transport-Security) дать мне правильный ответ на вопросы: поддерживает ли веб-сайт политику HSTS?

Да.

Потому что есть предварительно загруженный список. Я не уверен: может ли веб-сайт подписаться на список без отправки заголовка HSTS? т.е. может ли веб-сайт поддерживать политику HSTS без отправки заголовка Strict-Transport-Security?

Технически они могут. Однако тогда они подлежат удалению из списка предварительной загрузки. Кроме того, не все браузеры поддерживают предварительную загрузку (хотя и основные), и они не все используют один и тот же список предварительной загрузки. Таким образом, заголовок является обязательным, а список является необязательным дополнением.

Может кто-нибудь уточнить мне. Во-первых, слово "предложить" на странице Chrome не совсем понятно. Это обязательно? или необязательно?

В общем, правила ОБЯЗАНЫ, и они не будут автоматически приняты в список, если правила не соблюдаются, и они могут быть удалены из списка предварительной загрузки. Однако правила созданы для того, чтобы их нарушать, и вы можете запросить добавление вручную, если хотите. Например, https://gov.uk/ (правительство Великобритании) находится в списке предварительной загрузки, но без атрибута includeSubDomain в заголовке HSTS. Вероятно, это связано с тем, что они еще не преобразовали все свои субдомены в HTTPS, но все же хотят защитить предварительную загрузку для этого важного сайта верхнего уровня. Не все из нас влияют на правительство Великобритании, поэтому в остальном лучше следовать всем правилам и отправлять автоматически.

Во-вторых, если это необходимо, то, если веб-сайт, который хочет подписаться на список, должен в любом случае отправлять заголовок HSTS, почему он подписывается на список? Является ли этот список просто средством защиты первого соединения (которое не может быть защищено методом заголовка HSTS)? или это средство двойной проверки или что-то в этом роде? Пожалуйста, уточните мне.

Верный. Предварительная нагрузка предназначена для защиты первой нагрузки. Без этого браузер не видел заголовок HSTS и поэтому не знает, что сайт поддерживает HSTS.

Честно говоря, я думаю, что предварительная загрузка является избыточной для большинства сайтов, и мне очень не нравится концепция жесткого кодирования этого в месте, находящемся вне вашего контроля, и это может быть ножом, как я обсуждаю в этом сообщении в блоге. В целом (но не всегда!) Первый запрос является относительно безопасным (поскольку у вас нет файлов cookie), и если вы используете методы безопасного веб-сайта (Secure, HTTPOnly cookie, HSTS и перенаправление на HTTPS), риски относительно низкие. Однако, если вы являетесь всемирно известным сайтом (например, правительством Великобритании), тогда предварительная загрузка предлагает лучшую защиту.

Суть вопроса: достаточно ли мне проверить заголовки, чтобы сказать, поддерживает ли данный веб-сайт политику HSTS или нет, не сверяя веб-сайт с предварительно загруженным списком Chrome?

В значительной степени, как обсуждалось выше. Хотя у вас могут быть некоторые крайние случаи, когда он был (есть?) Все еще предварительно загружен, но прекратил публикацию заголовка. Это зависит от того, почему именно вам нужно знать, используется HSTS или нет.

Если требуется проверка веб-сайта в соответствии с предварительно загруженным списком HSTS в Chrome, не могли бы вы указать мне, как автоматизировать это (я не могу выполнить это вручную, поскольку у меня есть список веб-сайтов, а не один или два). Кроме того, как проверить сайт по списку определенной даты в прошлом (несколько месяцев назад).

Вам нужно будет проверить это по исходному коду HSTS и взглянуть на исторические версии этого списка. Не то, чтобы другие браузеры не могли использовать этот же список. Для проверки текущего состояния одного или двух сайтов вручную такие инструменты, как SSLLabs или Hardenize, в основном анализируют этот список для вас.