Отменить или истечь политику HSTS на сервере Apache

Я установил эту строку в ssl vhost на своем сервере. Я использую Apache 2.x

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

Это было серьезной ошибкой, потому что теперь я хочу удалить ее и иногда заставлять пользователей возвращаться на http страницы. Он не был включен очень долго, но я не хочу никого терять. Если я попытаюсь заставить пользователей вернуться на http-страницы прямо сейчас, они попадут в цикл перенаправления.

Как я могу отключить или истечь срок действия HSTS, используя настройки на сервере, чтобы, когда пользователи посещают сайт и переходят на https версию сайта, параметр Strict-Transport-Security удалялся из их браузера, и они могли быть перенаправлены на http?

Я уже знаю, что совершил глупую ошибку. Я усвоил урок, и теперь мне просто нужно очистить его.


apache hsts
person Brandon Bearden    schedule 13.02.2014    source источник
comment
Можете ли вы помочь мне понять это? Причина, по которой я спрашиваю, заключается в противоположной проблеме. Мой старый сайт по-прежнему работает по протоколу HTTP, но ссылки из Google, Facebook и т. д. часто вынуждают посетителей использовать HTTPS. К сожалению, после перехода по этой ссылке кажется, что нет никакого способа заставить браузер вернуться к HTTP для моего сайта, вызывая все виды хаоса. Так вот, мне техподдержка хостинга предложила обратное: Header всегда сбрасывал Strict-Transport-Security . Я могу добавить максимальный возраст и включить субдомены, если это поможет, но я немного не в своем уме, понимаю, почему происходят эти бесконечные циклы перенаправления, я уже видел это. !!   -  person Randy    schedule 02.11.2020
comment
@Randy Этот параметр конфигурации не помогает в вашей ситуации. Единственное производственное решение, которое я бы реализовал лично, состояло бы в том, чтобы настроить ваш старый сайт с HTTPS и перенаправить ваш http-трафик на https. Это лучше для всех и в долгосрочной перспективе вызовет меньше головной боли.   -  person Brandon Bearden    schedule 03.11.2020
comment
Через день эта строчка с unset вместо set и без спецификаторов max-age вместе с дополнительным редиректом в файле htaccess для перезаписи всех https-запросов на http все исправила. теперь. (это плюс очистка моей истории браузера, которая уже пометила мой URL как «слишком много перенаправлений»). Не говоря уже о том, что в конечном итоге я не перейду на безопасный сайт. Просто очень неприятно, когда что-то, что работало буквально десятилетиями, вдруг перестает работать. Мы все предпочитаем обновляться в свободное время, а не по принуждению, верно? Но в любом случае, теперь я немного узнал о HSTS :-)   -  person Randy    schedule 04.11.2020
comment
@Randy - Интересная находка. Спасибо за обновление и обмен.   -  person Brandon Bearden    schedule 04.11.2020

Ответы (1)


arrow_upward
15
arrow_downward

Догадаться:

ПРИМЕЧАНИЕ. Значение max-age, равное нулю (т. е. «max-age=0»), сигнализирует UA о прекращении рассмотрения хоста как известного хоста HSTS, включая директиву includeSubDomains (если она заявлена ​​для этого хоста HSTS). См. также Раздел 8.1 («Обработка полей заголовка ответа Strict-Transport-Security»).

Из документа RFC 6797.

Итак, я просто установлю следующую строку и оставлю ее на несколько месяцев, прежде чем удалить.

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"
person Brandon Bearden    schedule 14.02.2014