У нас был веб-сайт, работающий с SSL-сертификатом Godaddy в течение нескольких лет, несколько дней назад мы решили использовать этот сертификат для другого домена и сохранить текущий веб-сайт только с HTTP.
Мы также переместили веб-сайт в Azure и убедились, что нет перезаписи URL-адресов, которые перенаправляют HTTP на HTTP.
Но поскольку мы сделали этот шаг, во всех браузерах веб-сайт автоматически перенаправляет на HTTP, когда пользователь открывает его с помощью HTTP, например http://www.example.com, он автоматически перейдет в https://www.example.com. И это наверняка показывает раздражающее сообщение о том, что сайт небезопасен.
Как остановить такое поведение для всех пользователей, не прося их изменить настройки безопасности своих браузеров?
Не уверен, что это поможет:
Такое поведение очень похоже на HSTS (https://en.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security) заголовок был установлен для домена. Хорошая новость заключается в том, что вы можете просто прекратить его применять, и эффекты в конечном итоге исчезнут. Плохая новость заключается в том, что он обычно устанавливается на срок не менее шести месяцев, и единственный способ остановить его раньше - это заставить всех клиентов очистить свой кеш, чтобы они забыли об этой настройке для этого конкретного домена: цель HSTS - предотвратить высокий уровень jacker от злонамеренного отключения безопасности TLS для веб-сайтов.
Включите HTTPS. Либо на том же веб-сервере, на котором запущено приложение (почти уверен, что Azure может это сделать), либо на отдельном обратном прокси-сервере. При необходимости выдайте новый сертификат, сертификаты x509 дешевы или бесплатны.
Предупреждения о небезопасных HSTS и HTTP - это браузеры, которые очень стараются поддерживать HTTPS везде.
Если не объяснить, почему нельзя использовать HTTPS, реализовать его будет проще. Легче, чем объяснять пользователям техническую и почти схематичную задачу очистки их настроек безопасности.
Если вы в настоящее время не принудительно или даже не перенаправляете https, это, скорее всего, случай кеширования на стороне клиента.
Перенаправление может быть выполнено с помощью заголовка HTST (HTTP_Strict_Transport_Security), простого кода HTTP 301 (постоянное перенаправление), кода HTTP 302 (найдено), заголовка HTML или сценария, расположенного на загруженной странице. Первые два упомянутых параметра кэшируются на стороне клиента, поэтому, если клиент запрашивает адрес, он перенаправляется даже без «начального» запроса к серверу ...
Поскольку для этого потребуется очистить кеш для страницы на ВСЕХ клиентских сторонах, я бы предпочел получить даже бесплатный (например, давайте зашифровать) сертификат, чтобы страница работала на HTTPS ... Я думаю, это будет намного меньше работы, чем поддержка всех клиентов кто недавно заходил на вашу страницу.