14.3. Разветвления установления политики HSTS только для безопасных каналов без ошибок
Модель работы агента пользователя, описанная в разделе 8 ("User Agent Processing Model") предполагает, что компьютер в исходном состоянии помечен, как известный HSTS-компьютер, или, что выполнены обновления кэшированной информации, где указано что компьютер известен как HSTS-компьютер, только если агент пользователя получает поле заголовка STS через безопасное транспортное соединение, которое не имеет ошибок или предупреждений.
Обоснование этого заключается в том, что, если присутствует "человек-по-середине" (MITM) — официально используемый прокси, или нелегальный объект — он может вызвать различный ущерб (смотри также Приложение A ("Design Decision Notes") пункт 3, а также раздел 14.6 ("Bootstrap MITM Vulnerability")); например:
Неавторизованное присвоение компьютеру значения известного HSTS-компьютера, потенциально ведет к ситуации отказа обслуживания, если компьютер предлагает свои сервисы непостоянно через безопасный канал (смотри также раздел 14.5 ("Denial of Service")).
Сброс времени жизни для присвоения компьютеру названия известный HSTS-компьютер путем манипулирования агентом пользователя значением поля заголовка max-аge. Если значение max-age =0, то компьютер перестанет считаться агентом пользователя известным, приводя, либо к небезопасному соединению с компьютером, или возможно к отказу обслуживания, если компьютер предоставляет услуги только через безопасные каналы.
Однако, это означает, что, если агент пользователя находится за MITM непрозрачным TLS-прокси — внутри корпоративного Интранет, и взаимодействует с неизвестным HSTS-компьютером, размещенным за прокси, пользователь может столкнуться с ошибкой безопасности соединения. Даже если риск приемлем и пользователь "прокликает" это состояние, компьютер не будет считаться HSTS-компьютером. Таким образом, пока агент пользователя находится за таким прокси, пользователь будет уязвим и столкнется с диалогом, сопряженным с ошибкой безопасности соединения для неизвестного HSTS-компьютера.
Раз агент пользователя установил соединение с неизвестным HSTS-компьютером через безопасный канал, не допускающий ошибок, компьютер будет помечен как известный HSTS-компьютер. Это вызовет неудачи для последующих попыток установления соединений для объектов позади прокси.
Выше приведенные рассуждения относятся к рекомендации в разделе 12 ("User Agent Implementation Advice"), так что безопасное соединение следует разорвать всякий раз при получении предупреждения или при ошибке, когда компьютер является известным HSTS-компьютером. Такое состояние защищает пользователей от "прокликивания" предупреждений безопасности и подвергания себя риску.