Отключить HSTS и HPKP
У нас есть домен с включенными и работающими HSTS и HPKP. По нескольким причинам мы хотели бы отключить его не сразу, а сразу после истечения срока действия ключа. Это означает, что сайт останется доступным через HTTPS, как и сейчас, но без механизмов HSTS и HPKP.
Какие шаги мы должны предпринять, чтобы сделать это гладко?
2 ответа
Просто прекратите добавлять к ответам заголовки HPKP (Public-Key-Pins) и HSTS (Strict-Transport-Security) и после самого большого max-age значение любого из них истечет (то есть ни один клиент больше не будет помнить, что на вашем сайте они были включены), ваш сайт будет свободен как от HPKP, так и от HSTS.
Также имейте в виду, что если у вас было max-age если HPKP превышает срок действия вашего текущего сертификата, вам все равно нужно будет использовать резервный ключ для обновления сертификата, или клиенты, все еще помнящие ваш хэш ключа резервного копирования, будут думать, что при замене / обновлении сертификата происходит что-то неприятное.
Но это действительно странное намерение - пока Интернет переходит в более безопасное состояние, вы хотите двигаться в противоположном направлении.
Не прекращайте просто отправлять заголовки. Установите срок действия заголовка до выхода на пенсию
Конфигурация блока сервера Nginx
add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';
Между прочим, pin-sha256 - это подделка, копирование копи не приносит никакой пользы. Важной частью является
max-age=0;часть. Таким образом, когда вы удаляете заголовки через 3, 6, 9 + месяцев, это делается.
Мой прошлый клиент перенес хостинг без очистки HSTS, и его новый хост не предложил им SSL. Их сайт не был любим и браузеры от клиентов, которым они обычно блокировали не-https сайт (именно к этому они и перешли).