我从一个陌生人买了一个域名,似乎他用HSTS预加载保护域名。
HSTS绑定到HSTS被激活时使用的特定证书,还是我可以通过.htaccess为该域创build一个新的证书并再次激活HSTS?
正在删除HSTS一个可用的情况? 我读了很多post,删除HSTS不可能这么容易。
HSTS或Strict-Transport-Security标头指定该站点只能通过HTTPS访问。 它没有指定证书的任何内容,所以你可以购买一个新的证书,任何地方的用户将能够通过HTTPS访问你的网站。
还有另一种技术来限制可以使用的证书,即HTTP公钥密码(HPKP) 。 如果以前的所有者这样做,那么您只能使用原始证书或来自特定CA的证书。
理论上, 可以通过在标题中指定max-age=0 来禁用 HSTS。 但是,此标头只能通过HTTPS提供,因此无论如何您都需要使用HTTPS来禁用它。
HSTS绑定到域(通常是子域),而不是证书。 如果包含子域, includeSubDomains将包含在标题中。 但是,要提交到预加载列表,这是必需的,所以这将是您的域的情况。
我会build议保持HTTPS(见这里 )。 因此,您应该将HTTPredirect到HTTPS,然后继续设置所有HTTPS响应的标头。
无论您希望如何,您都可以更新标头来设置您自己的HSTS策略(使用max-age=0来删除HTTPS强制执行,但是也必须通过HTTPS设置),然后将您的站点重新提交到预加载列表中进行更新。
如果您删除了HTTPS执行,那么除非您的网站当前支持HTTPS,否则使用支持浏览器的预加载列表的任何人都无法连接到该网站,直到您的条目更新并部署了该浏览器版本。
所以简短的答案是有可能删除HSTS,但是a)为什么你想要? 和b)这将需要一段时间,你将不得不同时支持HTTPS。