Как навсегда отключить Chrome HSTS для поддомена

У меня следующая настройка:

Приложение https://app.domain.de является нашей производственной средой и автоматически перенаправляется на использование HTTPS. Здесь все работает нормально. Кроме того, есть несколько разрабатываемых версий приложения для нашей группы контроля качества, доступных через http://develop.app.domain.de (здесь HTTPS не требуется).

Проблема начинается здесь: как только я захожу в https://app.domain.de, Chrome (и, я думаю, также другие браузеры) пересылает http://develop.app.domain.de (без HTTPS) также на https://develop.app.domain.de (HTTPS). Я, конечно, могу отключить HSTS и очистить кеш для этого домена, и http://develop.app.domain.de снова будет работать, но только до тех пор, пока я снова не заеду в https://app.domain.de.

Я не могу включить HTTPS для наших сред разработки, так как для этого у вас должен быть хотя бы план Hobby Plan в Heroku, и, следовательно, это будет пустой тратой денег для всех наших версий разработки и тестирования приложения. Я также хотел бы сохранить схему URL-адреса.

Итак, мой вопрос: как я могу навсегда отключить эту неприятную пересылку (HSTS)?


google-chrome https hsts
person chillyistkult    schedule 20.06.2017    source источник

Ответы (3)


arrow_upward
128
arrow_downward

Вы можете ввести thisisunsafe в любом месте страницы предупреждений Google Chrome, и он загрузится без предупреждения. Без шуток.

person stdclass    schedule 06.03.2018
comment
Веб-сайт будет навсегда занесен в белый список. Как мне отменить это? - person Franklin Yu; 12.03.2018
comment
OMG убер полезно спасибо. У меня есть действующий DNS и самозаверяющий сертификат на WIFI, но это ноутбук для разработчиков, и я не всегда в сети - это очень помогает. Очевидно, что для HSTS недостаточно разрешить ненадежные сертификаты localhost, даже если вы сами подписались. - person BoeroBoy; 12.02.2019
comment
stackoverflow.com/questions/35274659/ - person Barry Pollard; 13.02.2019
comment
Это просто потрясающе. - person beatcoder; 18.12.2019
comment
Бурх, ты гений! : D - person Erik Kubica; 18.05.2020
comment
Я так счастлив сейчас. Спасибо! - person Fully Buzzword Compliant; 19.06.2020
comment
Вау, спасибо! есть ли другой полезный чит-код для Chrome? - person Anggara; 22.06.2020
comment
@FranklinYu щелкните сертификат (замок) в адресной строке и щелкните Повторно включить предупреждения - person kynan; 27.06.2020
comment
чувак, ты действительно сделал мой день! всегда нужно было перейти на край, чтобы загрузить определенный сайт. теперь он больше не работает в Edge, поэтому мне нужна была альтернатива. абсолютно спасатель, спасибо! - person Chris Schrut; 29.09.2020
comment
iddqd для хрома. отличный! - person andrej; 09.06.2021

arrow_upward
4
arrow_downward

В основном домене вы можете удалить параметр includesubdomains в заголовке HSTS, чтобы он не перенаправлял субдомен.

Однако это не самое безопасное решение. Чтобы быть эффективным, лучше установить HSTS + includesubdomains на всех ваших доменах и поддоменах (или злоумышленник может подделать домен "http://secure.yourdomain.com" например).

Таким образом, наиболее безопасным решением является использование самозаверяющего сертификата (или настоящего) для ваших доменов разработчиков и его импорт в браузеры.

person Tom    schedule 20.06.2017

arrow_upward
3
arrow_downward

HSTS не «гадкий» - это функция безопасности. И тот, который ваш домен добровольно выбрал для активации!

Вы можете удалить параметр includeSubDomains из рабочей среды, чтобы он применялся только к домену верхнего уровня, а не к поддоменам, при условии, что вы не отправили его для предварительной загрузки в веб-браузеры (пожалуйста, скажите мне, что вы не загружали его предварительно, не полностью понимая, что это повлекло за собой! - вы можете проверить это, запустив свой основной домен с помощью инструмента тестирования SSL Labs).

Однако мир повсюду движется в сторону HTTPS, и ваши среды разработки не отражают производственную среду. Некоторые функции (HTTP / 2, геолокация ... и т. Д.) Будут работать только при использовании HTTPS и этот список постоянно растет. Кроме того, в зависимости от того, как вы разрабатываете и ссылаетесь на ресурсы, вы можете начать видеть предупреждения о смешанном или отсутствующем содержимом после развертывания в производственной среде. Поэтому, на мой взгляд, вам НЕОБХОДИМО использовать HTTPS в средах разработки / контроля качества. Хотя я не знаю вашу платформу, вам действительно лучше понять, как настроить HTTPS в своей среде разработки, чем пытаться обойти это. Самозаверяющие сертификаты можно создавать бесплатно и делать так, чтобы им доверяли в вашей тестовой среде, поэтому они неотличимы от настоящих сертификатов для избранного числа пользователей.

person Barry Pollard    schedule 20.06.2017
comment
HSTS не является «неприятным» - это функция безопасности - это не неприятно, если вы не пытаетесь использовать Интернет для чего-то, кроме целей, указанных в белом списке Google. Любая такая функция должна иметь флаг опытного пользователя, чтобы полностью ее отключить. Это здравый смысл. В его нынешнем виде эта функция превращает простые задачи разработки (очистка метрик django с этого URL-адреса) в одиссеи разума (невозможно безопасно подключиться к этому адресу, который вы сами размещаете. Вы, вероятно, пытаетесь обмануть себя, поэтому я вмешаюсь и Защити тебя от плохого актера. Постой, спасибо, я просто делаю свою работу. - person nsfyn55; 26.03.2018
comment
@ nsfyn55 Google не помечает ваш домен автоматически как HSTS. Вы или кто-то из вашей команды это сделали. - person DylanYoung; 30.09.2019
comment
Неважно, где и кто применял HSTS. Любая функция, реализованная в браузере, должна позволять опытному пользователю отключать ее. - person nsfyn55; 01.10.2019
comment
Объясните мне, как вы переопределяете CORS или разрешаете использование SSLv2 или HTTP / 2 без HTTPS, или разрешаете доступ к данным геолокации без HTTPS или любого количества других функций безопасности, которые браузер реализует и не позволяет вам переопределить? И, кстати, вы можете переопределить это, если хотите, как подробно описано в другом ответе, но способ сделать это не рекламируется, не поддерживается и не гарантированно не изменится. - person Barry Pollard; 01.10.2019
comment
Разрабатывать по HTTPS - это хорошо. Заставить весь домен и все поддомены перейти на HTTPS - дело болезненное. Отключение HSTS не мешает кому-либо использовать HTTPS в разработке. - person Ryan; 05.11.2020
comment
Динамический HSTS наносит серьезный ущерб местному развитию. Это очень расстраивает и зря тратит время! - person Josh M.; 24.01.2021
comment
Точно. @ nsfyn55. Я здесь, пытаюсь отладить проблему Cloudflare, наносящую ущерб моему API, и я просто не хочу выпускать сертификат для поддомена, который я использую для обхода Cloudflare. Принятый ответ творит чудеса, позволяя мне обойти мои настройки HSTS для этого конкретного случая. - person Alexis Evelyn; 29.01.2021
comment
Это мнение, а не ответ - person anataliocs; 25.02.2021
comment
Средний абзац дает ответ. Первый абзац опровергает «мнение», данное в вопросе. И третий абзац дает дополнительный контекст того, почему альтернативное решение проблемы OP может быть лучше. - person Barry Pollard; 25.02.2021