11. Реализация сервера и советы по размещению
11.1. Соображения для нестандартного агента пользователя
Агенты пользователя, несоответствующие стандарту, игнорируют поле заголовка Strict-Transport-Security; и пренебрегают угрозами, описанными в разделе 2.3.1 ("Threats Addressed"). Смотрите также раздел 14.2 ("Non-Conformant User Agent Implications").
11.2. Соображения о времени пригодности политики HSTS
Реализации серверов и web-сайтов должны анализировать, устанавливают ли они время пригодности заданной протяженности или фиксируют момент завершения пригодности политики.
Подход "фиксированного момента в будущем" можно реализовать путем регулярной посылки агенту пользователя одного и того же значения max-age.
Например, значение max-age в 7776000 секунд соответствует 90 дням:
Strict-Transport-Security: max-age=7776000
Заметим, что каждое получение этого заголовка агентом пользователя потребует обновления своих данных.
Подход "фиксированного момента времени" может быть реализован путем посылки значений max-age, которые представляют время, оставшееся до желательного момента завершения пригодности. Это потребует, чтобы HSTS-компьютер посылал вновь вычисленное значение max-age в каждом HTTP-отклике.
Здесь нужно учесть, хочет ли пользователь получать сигнал о том, что время пригодности политики HSTS соответствует доменному сертификату web-сайта.
Кроме того, администраторы сервера должны рассмотреть в своих конфигурациях системы значение по-умолчанию для max-age равное нулю. Это заставит администраторов осознанно установить max-age, для того чтобы исключить для агентов пользователя случайную установку времени пригодности политики HSTS для их компьютера.