Назад | Перейти на главную страницу

Отменить / отключить строгую безопасность транспорта HTTP

Как я могу отозвать информацию заголовка HSTS?

У меня есть веб-сайт, который я хочу перейти с HTTPS на HTTP.

Я перенастроил Apache2 для обслуживания только HTTP. К сожалению, Chrome и Firefox по-прежнему пытаются автоматически открыть HTTPS-версию страницы.

Я предполагаю, что это связано с тем, что предыдущая конфигурация все еще действует.

<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>

Идея заголовка HSTS заключается в том, что каждый клиент, посещающий страницу, должен локально хранить информацию «до времени ([сейчас] + [max-age] секунд), этот сайт должен быть доступен только с использованием HTTPS». Он предназначен для предотвращения атак типа «злоумышленник в середине», пытающихся заставить клиента использовать незашифрованное соединение.

Таким образом, любые попытки на стороне сервера перенаправить клиента на HTTP-версию страницы, которая раньше имела заголовок HSTS с неистекшим сроком действия, скорее всего, вызовут для пользователя страшное предупреждающее сообщение. Единственный способ избежать этого (кроме ожидания истечения указанного периода HSTS) - это удалить сохраненную информацию HSTS от любого клиента, который посетил сайт во время использования заголовка HSTS.

Вот инструкции для этой процедуры для Chrome и Firefox.

Инструкции для Chrome

Перейдите к: chrome: // net-internals / # hsts

Затем введите полное имя вашего сайта в поле «Домен запроса», нажмите кнопку «Запрос» и убедитесь, что там есть информация HSTS. Затем введите то же имя в раздел «Удалить политики безопасности домена» и нажмите «Удалить».

Инструкции для Firefox

Закройте все открытые вкладки, затем откройте окно полной истории (нажмите Control-Shift-H в Windows / Linux, Command-Shift-H на Mac или выберите «История» -> «Показать всю историю» в строке меню, если она отображается). Найдите сайт, щелкните его правой кнопкой мыши и выберите «Забыть об этом сайте».

Если вам нужен метод, который можно автоматизировать, вы также можете отредактировать файл SiteSecurityServiceState.txt в каталоге профиля Firefox. когда Firefox не запущен. В используемом вами редакторе должны использоваться окончания строк в стиле Unix / Linux. Найдите строку, которая начинается с <fully-qualified name of your site>:HSTS и удалите его.