我们有一个域和HSTS和HPKP启用和工作。 出于几个原因,我们希望将其禁用,而不是立即,但只要密钥过期。 这意味着该网站仍然可以通过HTTPS访问,就像现在一样,但是没有HSTS和HPKP机制。
我们应该采取什么措施来顺利完成这项工作?
只要停止添加HPKP( Public-Key-Pins )和HSTS( Strict-Transport-Security )标题到答案中,并且在这两者中的最大max-age期限值将到期后(意味着客户端不会再记住您的站点有这些启用),您的网站将是免费的HPKP和HSTS。
另外请记住,如果HPKP的max-age大于当前的证书剩余使用期限,则仍然需要使用备份密钥进行证书更新,或者仍然记住您的备份密钥散列的客户端会认为发生了一些令人讨厌的事情在证书更换/更新。
但是这是一个非常奇怪的意图 – 当networking正在转向更安全的状态时,您希望朝相反的方向前进。