11.3. Использование HSTS совместно с сертификатом самоподписываемого общедоступного ключа
Если выполнены все четыре следующих условия, то ...
- web сайт/организация/предприятие для обеспечения безопасности канала генерируют свои собственные сертификаты открытых ключей для web-сайтов,
- и сертификат корневого центра сертификации организации (CA) обычно не записывается в браузер по-умолчанию и/или в хранилище сертификатов операционной системы CA,
- и политика HSTS на компьютере активна, идентифицирует себя с помощью сертификата, подписанного CA организации (то-есть, "самоподписанный сертификат"),
- и этот сертификат не соответствует используемой ассоциации сертификатов TLS (как это определено в разделе 4 спецификации TLSA-протокола [RFC-6698]),
... далее безопасное соединение с этим сайтом будет разорвано, по инициативе HSTS. Это защищает от различных активных атак, как это было обсуждено выше.
Однако, если оговоренная организация хочет использовать свой собственный CA, и самоподписанные сертификаты, во взаимодействии с HSTS, она может это делать путем использования своего сертификата корневого CA в своих браузерах или в хранилище сертификатов операционной системы. Она может также, кроме того или в дополнение, разослать своим браузерам пользователей последние сертификаты для определенных компьютеров. Существуют разные пути того, как это можно осуществить. Раз сертификат корневого CA установлен в его браузере, его может использовать политика HSTS на своих сайтах.
В противном случае, эта организация может применить TLSA-протокол; все браузеры, которые также используют TLSA смогут доверять сертификатам, идентифицированным ассоциацией TLS-сертификатов, как это задано TLSA.