哪个浏览器使用哪个 HSTS 预加载列表？

Question

我一直在阅读有关 Google 和使用 HSTS 预加载列表的 Firefox 的各种信息。

• 这里似乎有一个通用列表：https://hstspreload.org/
• 并且 Chrome 在此处使用 Chromium 中的一个： https://www.chromium.org/hsts/
• Firefox 在此处使用： https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc

Safari 或 Opera 是否使用 HSTS 预加载列表？哪一个 ？上面引用的3个列表有什么关系？

谢谢

Answer 1

来自你的first link：

Most major browsers (Chrome, Firefox, Opera, Safari, IE 11 and Edge) also have HSTS preload lists based on the Chrome list. (See the HSTS compatibility matrix.)

Answer 2

HSTS 事实上的中央主列表由 Chromium 管理/Google 在 https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json .

可以在 Wikipedia 找到支持 HSTS 的浏览器列表（并且可能有预加载列表）。 作为封闭源代码，有关 Opera、Safari、IE 等如何处理其预加载列表的信息似乎不可用。

Microsoft Edge 团队状态 in their Blog，即

Like other browsers which have implemented this feature, Microsoft Edge and Internet Explorer 11 base their preload list on the Chromium HSTS preload list.

对于 Firefox，/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc 处的列表由文件生成 /source/mozilla/security/manager/tools/getHSTSPreloadList.js，从这里我们可以看出行

const SOURCE = "https://chromium.googlesource.com/chromium/src/net/+/master/http/transport_security_state_static.json?format=TEXT";

它只是 "master list" 的克隆，解析为 Firefox 格式。 它所做的只是对列表中的每个域进行额外验证 运行 是否可用并具有所需的 HSTS header（通过连接到它；它似乎每天都从 vcs 日志中进行）。

Palemoon follows this procedure 其他浏览器供应商很可能也在做同样的事情。 所以看起来你的列表之间的关系是：只有一个。