Отключить HSTS для поддоменов в Etherpad

У меня есть веб-сайт с двумя разными сертификатами. Один для официального использования, поэтому пользователь не видит самозаверяющее предупреждение. И один для внутреннего использования для частных поддоменов (для phpmyadmin, roundcube и т. Д.). Эти поддомены предназначены только для использования администратором, поэтому мне кажется бесполезным тратить деньги на wildward-сертификат. Поэтому подстановочный знак-Certifitae является самоподписанным, и я запомнил хэш.

Также я получил установку etherpad на этом сервере на другом порту, отличном от http (не на другом субдомене). Теперь кажется, что Etherpad отправляет этот заголовок «Strict-Transport-Security: max-age = 31536000; includeSubDomains», что просто глупо, потому что я не смог найти возможность отключить «includeSubDomains».

Теперь, когда я был в своей панели, а затем попытался использовать свои административные поддомены, я получил сообщение об ошибке из-за HSTS, без возможности установить исключение, и поэтому они теперь непригодны для меня.

Есть ли у кого-нибудь идеи, как я могу избавиться от "includeSubDomains" в установке etherpad?

Буду рад, если кто-нибудь мне поможет. Спасибо.


ssl https hsts self-signed etherpad
person mate    schedule 20.03.2015    source источник
comment
Что ж, вы можете изменить одно место, где установлен этот заголовок… github.com/ether/etherpad-lite/   -  person CBroe    schedule 20.03.2015
comment
Конечно, но что-нибудь родное было бы лучше. Разве это не перезаписывается, если я выхожу из github за обновлением?   -  person mate    schedule 20.03.2015
comment
Да, конечно, если вы обновите, вам придется сделать это снова. Если вы этого не хотите, то я думаю, вам, возможно, придется проксировать запрос, чтобы вы могли изменять заголовки до того, как они будут отправлены клиенту ... Я не знаю, предоставляет ли node.js еще один «слой», инкапсулирующий такой приложение, где вы могли бы сделать это в противном случае.   -  person CBroe    schedule 20.03.2015
comment
Хм, хорошая идея. Спасибо!   -  person mate    schedule 20.03.2015
comment
Отключите SSL в Etherpad, поместите SSL на обратный прокси (например, nginx), и тогда заголовок не будет применяться.   -  person John McLear    schedule 24.03.2015

Ответы (1)


arrow_upward
0
arrow_downward

Это немного старовато, но я хотел бы указать лучшую альтернативу: установить сертификат (самозаверяющего) ЦС, который вы использовали для подписи собственного сертификата в качестве доверенного ЦС в своем браузере.

Я просто передаю сертификат CA на свой веб-сервер и загружаю / устанавливаю его, используя IP-адрес, чтобы избежать HTST-триггера. Вы можете указать в браузере

http://1.2.3.4/my_certificate.pem

и ваш браузер спросит вас, что вы хотите использовать для этого сертификата. Если вы установите для него разрешение подписывать веб-сайты, и CN в вашем сертификате совпадает с именем хоста, для которого вы его используете (roundcube, phpmyadmin и т. Д.), Ваш браузер с радостью примет ваши самозаверяющие сертификаты, даже если включен HSTS.

person Egbert    schedule 11.05.2016
comment
Да, это сработает. Но я считаю плохой практикой просить всех посетителей установить новый сертификат. Между тем, к счастью, есть Let's encrypt. Так что теперь уже нет ничего страшного в том, чтобы иметь сертификат для всех поддоменов. - person mate; 20.05.2016