HSTS защищенная миграция домена

Question

HSTS защищенная миграция домена

Я купил домен у незнакомца, и, похоже, он защищал домен с помощью предварительной загрузки HSTS.

Привязан ли HSTS к определенному сертификату, который использовался при активации HSTS, или я могу просто создать новый сертификат для домена и снова активировать HSTS через.htaccess?

Является ли удаление HSTS пригодным для использования сценарием? Я прочитал много сообщений о том, что удалить HSTS не так просто.

0

ssl shared-hosting hsts

Источник

rockZ 19 июл '17 в 14:31

2 ответа

Решение

HSTS привязан к домену (и обычно к поддоменам), а не к сертификату. includeSubDomains включается в заголовок, если включены субдомены. Однако для отправки в список предварительной загрузки это необходимо, так что это будет иметь место с вашим доменом.

Я бы порекомендовал сохранить HTTPS (см. Здесь). Поэтому вы должны перенаправить HTTP на HTTPS, а затем продолжить установку заголовка для всех ответов HTTPS.

Независимо от ваших пожеланий, вы можете обновить заголовок, чтобы установить собственную политику HSTS (используйте max-age=0 чтобы удалить принудительное использование HTTPS, но учтите, что это должно быть также установлено через HTTPS), а затем повторно отправьте свой сайт в список предварительной загрузки для его обновления.

Если вы удалите принудительное использование HTTPS, то, если ваш сайт в настоящее время не поддерживает HTTPS, никто, использующий браузер с поддержкой предварительной загрузки, не сможет подключиться к нему, пока ваша запись не будет обновлена и эта версия браузера не будет развернута.

Так короткий ответ, что можно удалить HSTS, но а) Почему вы хотите? и б) это займет некоторое время, и тем временем вам придется поддерживать HTTPS.

1

Источник

SilverlightFox 19 июл '17 в 14:49

Другие вопросы по тегам ssl shared-hosting hsts

Sjoerd 19 июл '17 в 14:40 2017-07-19 14:40 · Accepted Answer · 2017-07-19 14:40

HSTS или заголовок Strict-Transport-Security указывают, что доступ к сайту возможен только через HTTPS. В нем ничего не указано о сертификате, поэтому вы можете просто купить новый сертификат в любом месте, где пользователи смогут посещать ваш сайт через HTTPS.

Существует еще один способ ограничения использования сертификата - HTTP Pinning Public Key (HPKP). Если предыдущий владелец сделал это, то вы можете использовать только оригинальный сертификат или сертификат от определенного центра сертификации.

Теоретически HSTS можно отключить, указав max-age=0 в шапке. Однако этот заголовок может обслуживаться только через HTTPS, поэтому вам все равно понадобится HTTPS, чтобы отключить его.