<div dir="ltr">Hi Martin,<div><br></div><div>Yes please do so. HSTS is missing and quite important.</div><div><br></div><div>Thanks,</div><div>Aaron</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Sun, Jan 12, 2014 at 7:06 PM, Martin Rublik <span dir="ltr"><<a href="mailto:martin.rublik@gmail.com" target="_blank">martin.rublik@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On 9. 1. 2014 12:13, Martin Rublik wrote:<br>
> 1. HSTS and HTTPS redirects<br>
> ---------------------------<br>
> I quickly skimmed through the document and saw no explanation of HSTS / HTTPS<br>
> redirects. I think it would be nice to add a short explanation of HSTS before<br>
> recommending.<br>
><br>
> Especially it would be nice to point out that one should avoid HSTS for OCSP and<br>
> CRL distribution point URIs.<br>
><br>
> I guess the topic on HSTS / HTTPS redirects would fit in theory part along with<br>
> a little explanation of SSL/TLS, or at least as a note in references in the<br>
> Webservers section. One could cite at least RFC 6797 (at least section 11<br>
> <a href="https://tools.ietf.org/html/rfc6797#section-11" target="_blank">https://tools.ietf.org/html/rfc6797#section-11</a> ) and OWASP<br>
> <a href="https://www.owasp.org/index.php/HTTP_Strict_Transport_Security" target="_blank">https://www.owasp.org/index.php/HTTP_Strict_Transport_Security</a><br>
><br>
<br>
</div>OK, if there are no objections I'll try to prepare a few paragraphs on deploying<br>
HSTS, perhaps an introduction to SSL/TLS (in theory section) would not harm as well.<br>
<span class="HOEnZb"><font color="#888888"><br>
Martin<br>
</font></span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
Ach mailing list<br>
<a href="mailto:Ach@lists.cert.at">Ach@lists.cert.at</a><br>
<a href="http://lists.cert.at/cgi-bin/mailman/listinfo/ach" target="_blank">http://lists.cert.at/cgi-bin/mailman/listinfo/ach</a><br>
</div></div></blockquote></div><br></div>