У нас есть домен с включенными HSTS и HPKP. По нескольким причинам мы хотели бы отключить его не сразу, а по истечении срока действия ключа. Это означает, что сайт останется доступным через HTTPS, как сейчас, но без механизмов HSTS и HPKP.
Какие шаги мы должны предпринять, чтобы сделать это плавно?
Просто перестаньте добавлять HPKP (Пины с открытым ключом) и HSTS (Строгая транспортная безопасность) заголовки к ответам, а после самого большого max-age значение любого из них истечет (это означает, что ни один клиент больше не будет помнить, что на вашем сайте они были включены), ваш сайт будет свободен от HPKP и HSTS.
Также имейте в виду, что если у вас max-age для HPKP больше, чем ваш текущий оставшийся срок службы сертификата, вам все равно потребуется использовать резервный ключ для обновления сертификата, иначе клиенты, все еще помняющие хэш резервного ключа, подумают, что при замене / обновлении сертификата происходит что-то неприятное.
Но это действительно странное намерение - пока Интернет переходит в более безопасное состояние, вы хотите двигаться в противоположном направлении.
Не прекращайте просто отправлять заголовки. Установите срок действия заголовка до выхода на пенсию
add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';
Кстати, pin-sha256 - подделка, копипастить мою нет никакой пользы. Важная часть - это
max-age=0;часть. Таким образом, когда вы удалите заголовки через 3, 6, 9 + месяцев, все будет готово.
Мой прошлый клиент переместил хостинг без очистки HSTS, и их новый хост не предлагал им SSL. Их сайт не любили, и браузеры клиентов, которых они обычно блокировали, не-https-сайт (на который они переехали).