Назад | Перейти на главную страницу

Перенос защищенного домена HSTS

Я купил домен у незнакомца, и он вроде как защитил домен с помощью HSTS-предварительной загрузки.

Привязан ли HSTS к конкретному сертификату, который использовался при активации HSTS, или я могу просто создать новый сертификат для домена и снова активировать HSTS через .htaccess?

Можно ли использовать удаление HSTS? Я читал много сообщений о том, что удалить HSTS не так просто.

HSTS или заголовок Strict-Transport-Security указывает, что к сайту можно получить доступ только по HTTPS. В нем ничего не говорится о сертификате, поэтому вы можете просто купить новый сертификат в любом месте, где пользователи смогут посетить ваш сайт по HTTPS.

Существует еще один метод ограничения того, какой сертификат можно использовать, Закрепление открытого ключа HTTP (HPKP). Если это сделал предыдущий владелец, то вы можете использовать только исходный сертификат или сертификат от определенного ЦС.

Теоретически HSTS можно отключить указав max-age=0 в шапке. Однако этот заголовок может обслуживаться только через HTTPS, поэтому вам в любом случае понадобится HTTPS, чтобы отключить его.

HSTS привязан к домену (и обычно субдоменам), а не к сертификату. includeSubDomains включается в заголовок, если включены поддомены. Однако для отправки в список предварительной загрузки это необходимо, так что это будет в случае с вашим доменом.

Я бы рекомендовал оставить HTTPS (см. Вот). Поэтому вам следует перенаправить HTTP на HTTPS, а затем продолжить установку заголовка для всех ответов HTTPS.

Какими бы ни были ваши пожелания, вы можете обновить заголовок, чтобы установить свою собственную политику HSTS (используйте max-age=0 (чтобы отменить принудительное применение HTTPS, но обратите внимание, что это также должно быть установлено через HTTPS), а затем повторно отправьте свой сайт в список предварительной загрузки, чтобы он был обновлен.

Если вы удалите принудительное применение HTTPS, тогда, если ваш сайт в настоящее время не поддерживает HTTPS, никто, использующий браузер, поддерживающий список предварительной загрузки, не сможет подключиться к нему, пока ваша запись не будет обновлена ​​и эта версия браузера не будет развернута.

Столь короткий ответ в том, что это является можно удалить HSTS, но а) Зачем тебе это нужно? и б) это займет некоторое время, и вы будете иметь тем временем поддерживать HTTPS.