Z hlediska doménové hierarchie ano, z hlediska HTTPS rozhodně ne. Třeba autority mají seznamy domén, pro které nevystavují certifkáty nebo mají speciální režim a je pro ně potřeba extra ověření. Stejně tak třeba prohlížeče distribuují zvláštní revokační seznamy certifikátů pro vybrané domény, které jsou zajímavější než jiné a podobně. Tady rovnost rozhodně neplatí. Pokud HSTS přeroste, je možné, že se prostě ten seznam nějak redukuje a dostanou se do něj třeba jen nějaké top weby z Alexa nebo podobně.
A není tenhle postup trochu nefér? Pokud by k tomu došlo - tak bych nechápal proč by Tonda z Horní Dolní nemohl používat HSTS preload, co na tom že mu chodí na web jeden člověk mesíčně? Je nějaká autorita, která objektivně určí kdo je VIP a kdo není? A podle čeho? Podle počtu návštěv?
Přijde mi že HSTS preload je systémově neudržitelný.
Ked ten zoznam prilis narastie, mozno by slo pouzit Bloom filter. Moze sa sice stat, ze nejaka domena bude "omylom" vyhodnotena ako zaradena v HSTS, no stale je to lepsie ako zapnut HSTS automaticky pre vsetkych. Prip. by sa dal potom udrziavat este zoznam vynimiek, ale uz len pre domeny ktore do HSTS preload listu zaredene explicitne neboli ale dostali sa tam "nedopatrenim" (side-effect bloom filtru).
Domeny zaradene do zoznamu by tam zostali vzdy, co je dobre.
Brzo (za pár let) bude HTTPS tak běžné, že HTTP bude jen fallback ze situace, kdy server šifrované spojení odmítne. Prohlížeče budou zobrazovat varování (jako dnes u neplatných certifikátů) a/nebo nebudou dovolovat některé operace (jako odesílání formulářů).
HSTS je jen přechodná funkce a myslím že byla tak i myšlena.
Ale kdeze ... soudruzi uz stvorili i vylepseni, browser si bude uchovavat seznam klicu ... pripadne jeste lip, to uz vymyslel o nejvetsi guugl ... se bude pred kazdou navstevou dotazovat prave guuglu, jestli prave tenhle cert patri prave tomuhle webu, neni nahodou revokovanej ... a pokud v seznamu nebude, tak zadny browsani, takze smirovani ve velkym ale samo pro nasi bezpecnost.
Milionkrat sem psal, za stavajici situace je http exaktne stejne bezpecny jako https. A zajistit bezpecnost na https se stavajicim fungovani ani nelze. Protoze i kdyby kdokoli smazal vsechny CA v systemu a importoval si jen konkretni klice konkretnich webu (ziskany zcela bezpecne a proverene), tak se mu to cely s prvni aktualizaci rozbije.
Pokud narazis na certificate transparency, tak ti nelze nez ponekolikate doporucit si precist, co to je, nez budes pokracovat v placani nesmyslu. Vysel tady o tom docela dobry clanek:
https://www.root.cz/clanky/certificate-transparency-vydavani-certifikatu-pod-kontrolou/