Hsts

禁用 HSTS 和 HPKP

  • December 20, 2017

我們有一個啟用了 HSTS 和 HPKP 且正常工作的域。出於幾個原因,我們想禁用它,不是立即禁用,而是在密鑰過期後立即禁用。這意味著該站點仍然可以通過 HTTPS 訪問,就像現在一樣,但沒有 HSTS abd HPKP 機制。

我們應該採取哪些步驟才能順利完成這項工作?

只需停止將 HPKP( Public-Key-Pins ) 和 HSTS( Strict-Transport-Security ) 標頭添加到答案中,並且在其中max-age任何一個的最大值將過期之後(這意味著沒有客戶會再記得您的網站啟用了這些),您的站點將不包含 HPKP 和 HSTS。

還要記住,如果您max-age的 HPKP 大於目前證書的剩餘壽命,您仍然需要使用備份密鑰來更新證書,或者仍然記住您的備份密鑰雜湊的客戶端會認為證書上發生了一些令人討厭的事情更換/更新。

但這是一個非常奇怪的意圖 - 當 Web 正在向更安全的狀態移動時,您希望向相反的方向移動。

引用自:https://serverfault.com/questions/809821