Приложение A. Устройство узлов принятия решений
В этом приложении рассмотрены документы для различных системных решений.
Куки не подходят для выражения политики HSTS, так как они являются переменными (из-за записи в агенте пользователя); следовательно, поле заголовка HTTP должно использоваться.
Мы решили не пытаться специфицировать то, как "mixed security context loads" (известный также как "mixed content loads") обрабатываются, из-за соображений реализации агента пользователя, а также из-за трудностей классификации.
HSTS-компьютер может обновить нотации политики HSTS агента пользователя с помощью значений поля заголовка HSTS. Мы выбираем вариант, когда агенты пользователя получают самую свежую информацию от сервера, так как имеется шанс для web-сайта послать некорректную политику HSTS, такую как многолетнее значение max-age, и/или некорректную директиву includeSubDomains. Если HSTS-компьютер не может скорректировать эти ошибки в рамках протокола, это потребует некоторого вмешательства в пользовательскую часть программы, которое может оказаться нетривиальной проблемой для провайдеров web-приложения и их пользователей.
HSTS-компьютеры идентифицируются с помощью доменных имен — идентификация по IP-адресам в любой форме исключена. Это сделано для простоты, а также для распознавания различных проблем при использовании прямой идентификации по IP-адресу в концепции безопасности, основанной на PKI.
Подход max-age, когда HSTS-компьютер предоставляет простое целое число секунд для времени жизни кэшированной политики HSTS, в отличие от подхода с абсолютныи моментом истечения пригодности в будущем, был выбран по разным причинам. Среди причин можно назвать отсутствие необходимости синхронизации часов, отсутствие требования определения синтаксиса даты и времени (простота спецификации), и простота реализации.
При выборе привязки портов, рассматривается опция полного отказа разыменования любых URL с портом. Создается ощущение, что возможность разыменования URI не является корректной.