Aslında, bu HSTS spesifikasyonunda ele alınmıştır. RFC 6797 (benimkine vurgu yapar):
11.3. HSTS'yi Kendinden İmzalı Genel Anahtar Sertifikalarıyla Birlikte Kullanma
Aşağıdaki koşulların dördü de doğruysa ...
o bir web sitesi / organizasyon / işletme kendi güvenliğini yaratıyor
web siteleri için ortak anahtar sertifikaları aktarmak ve
[...]
... o zaman HSTS'ye göre, bu siteye güvenli bağlantı kurulamaz.
tasarımı. Bu, çeşitli aktif saldırılara karşı korumaktır.
yukarıda tartışılan.
[...]
Ancak, eğer söz konusu kuruluş kendi CA'sını kullanmak isterse ve
kendinden imzalı sertifikalar, HSTS ile uyum içinde kök CA sertifikasını kullanıcılarının tarayıcılarına veya işletim sistemi CA kök sertifika depolarına dağıtma . Ayrıca, içinde
ekleme veya yerine kullanıcılarının tarayıcılarına dağıt
belirli ana bilgisayarlar için son varlık sertifikaları .
Yani bunlardan birini yapmanız gerekir:
- kendi oluşturduğunuz sertifikanızı bir CA sertifikasıyla (sizin de oluşturduğunuz) imzalayın ve CA sertifikasını tarayıcıya yükleyin (veya tarayıcı kullanıyorsa işletim sistemi deposuna yükleyin).
- kendinden imzalı sertifikayı tarayıcıya veya işletim sistemi deposuna yükleyin.
Sertifikanın nasıl yükleneceği tarayıcıya bağlıdır; Bunun nasıl yapılacağına dair çok sayıda cevap var.
Aslında, normal sertifika uyarılarını engellediğinden, HSTS olmadan da yapmanız gereken şey budur. Ancak, HSTS ile aslında tek yol bu.
includeSubdomains