У меня есть веб-сайт, который использует бесплатную службу Cloudflare и включил HTTP Strict Transport Security (HSTS) предварительная нагрузка на него.
Если я хочу удалить домен из Cloudflare и направить его прямо на мой сервер, где домен размещен с действующим сертификатом SSL, сайт останется доступным независимо от того, max-age срок истек или нет?
Единственное место, которое я включил HTTP Strict Transport Security (HSTS) находится внутри консоли Cloudflare, на самом деле он не настроен на исходном сервере.
Источник панели предупреждений Cloudflare HSTS
Спасибо.
HTTP Strict Transport Security (HSTS) не мешает вам изменить свои записи DNS, чтобы они указывали на другой IP-адрес, он просто предотвращает попытки браузеров с поддержкой HSTS (которые видели заголовок HSTS или были предварительно загружены, например, Chrome), подключиться через HTTP (вместо HTTPS).
Все это заставляет браузер с поддержкой HSTS изменять запрос на http://example.com к https://example.com перед отправка запроса, тем самым гарантируя, что никакая информация никогда не будет отправлена в открытом виде.
Предупреждение Cloudfare просто сообщает вам, что при смене хостинг-компании вам необходимо убедиться, что у вас также установлен действующий SSL на новом сайте.
Поскольку у вас есть действующий сертификат SSL в новом месте хостинга, все готово. Просто обновите свой DNS и продолжайте!
Если вы используете SSL, Там есть нет причина отключить HSTS. С другой стороны, не наличие HSTS на сайте, поддерживающем SSL, делает этот сайт менее защищенным, поскольку трафик, который HSTS мог бы предотвратить через HTTP, может проходить через Интернет в открытом виде.
Что касается «предварительной загрузки» HSTS, то это процесс, при котором компании, такие как Google, предварительно загружают заголовок HSTS в браузере Chrome (в отличие от того, что браузеру необходимо один раз посетить сайт, прежде чем он сохранит заголовок). Как и вся информация заголовка HSTS, предварительно загруженная информация HSTS хранится по имени хоста, не Айпи адрес. Ты всегда бесплатно изменить IP-адрес, на котором размещен сайт. С другой стороны, отказ от SSL после того, как вы включили HSTS, затруднит (если не сделает невозможным) посещение вашего сайта некоторыми пользователями.
Ответ Кольта правильный.
Однако, чтобы добавить немного больше о предварительной загрузке:
Если в вашем заголовке установлен тег «preload», то вы можете отправить сайт в список предварительной загрузки, чтобы тот факт, что вы используете HSTS, был запечен в браузере, а не на основе того, видел ли браузер последний раз заголовок в пределах max- возраст время.
Также кажется, что некоторые браузеры заранее добавляют ваш сайт в свой список предварительной загрузки, когда видят заголовок, содержащий ключевое слово предварительной загрузки. Так что вы можете быть предварительно загружены, даже не осознавая этого.
Проще всего проверить это на https://www.ssllabs.com/ssltest/ а внизу есть поле HSTS Preloading, которое сообщит вам, какие браузеры предварительно загружают списки, в которых находится ваш сайт.
Это важно по двум причинам:
Вы можете не осознавать, что ваш сайт предварительно загружен, и через некоторое время вдали от Cloudflare вы можете подумать, что отключение HTTPS безопасно, но это может быть не так.
Вы можете остаться предварительно загруженными, но Chrome предупреждает что они могут в будущем удалить домены из встроенного списка, если домен не будет продолжать предоставлять заголовок с ключевым словом preload. В этом случае, если вы хотите остаться, вам следует добавить правильный заголовок HSTS на свой базовый сервер.
И, наконец, вы должны знать, что для предварительной загрузки (обычно) требуется аргумент «includesubdomains», поэтому все поддомены вашего домена также могут быть в списке предварительной загрузки, даже если вы никогда явно не публиковали этот заголовок в поддомене.
Предварительная загрузка добавляет изрядную сложность и ограничения, поэтому необходимо полностью понимать, что это означает, если вы когда-нибудь захотите вернуться к HTTP по какой-либо причине.
Мы (CloudFlare) довольно быстро распространяем DNS. Есть разумная вероятность, что кешированная версия может быть запущена изначально, но это будет не более 300 секунд (возможно, меньше).
