web-dev-qa-db-ja.com

httpsではなくhttpを開くためにドメインを更新する方法

数年前にGodaddy SSL証明書を使用するWebサイトがありましたが、数日前、この証明書を別のドメインに使用し、現在のWebサイトをHTTPだけで機能させることにしました。

また、WebサイトをAzureに移動し、HTTPをHTTPにリダイレクトするURLの書き換えがないことを確認しました。

ただし、この移動を行ったため、すべてのブラウザーで、ユーザーが http://www.example.com のようにHTTPで開くと、Webサイトは自動的にHTTPにリダイレクトされ、自動的に https ://www.example.com 。そして確かに、これはウェブサイトが安全ではないという迷惑なメッセージを示しています。

ブラウザのセキュリティ設定を変更するように要求せずに、すべてのユーザーに対してこの動作を停止するにはどうすればよいですか?

これらが役立つかどうかわからない:

  • ウェブサイトは古典的なASPで書かれた非常に古いウェブサイトです
  • SSL証明書はGodaddyからのものでした
  • このウェブサイトのドメイン名は K2 にあります
  • WebサイトがAzureアプリサービスでホストされるようになりました。
1
Amr Elgarhy

この動作は、HSTS( https://en.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security )ヘッダーがドメインに設定されているように聞こえます。良いニュースは、あなたは単にそれを適用することをやめることができて、そして効果が最終的に消えるということです。悪いニュースは、通常は少なくとも6か月に設定されていることです。それを早く止める唯一の方法は、すべてのクライアントにキャッシュをクリアして、この特定のドメインの設定を忘れさせることです。HSTSの目的は、ジャッカーがWebサイトのTLSセキュリティを悪意を持ってオフにすることから。

5
Mikael H

HTTPSを有効にします。アプリを実行している同じWebサーバー(Azureで実行できることを確認してください)または別のリバースプロキシのどちらでも問題ありません。必要に応じて新しい証明書を発行します。x509証明書は安価または無料です。

HSTSとHTTPの安全でない警告は、あらゆる場所でHTTPSに対して非常に努力しているブラウザです。

HTTPSを実行できない理由の説明がない場合は、HTTPSを実装する方が簡単です。ユーザーにセキュリティ設定をクリアする技術的でほとんどスケッチされたタスクを説明するよりも簡単です。

2
John Mahowald

現在httpsを強制またはリダイレクトしていない場合は、おそらくクライアント側のキャッシュのケースです。

リダイレクトは、HTST(HTTP_Strict_Transport_Security)ヘッダー、単純な301 HTTPコード(永続的なリダイレクト)、302 HTTPコード(Found)、ロードされたページにあるHTMLヘッダーまたはスクリプトによって実行できます。上記の最初の2つのオプションはクライアント側でキャッシュされるため、クライアントがアドレスを要求した場合は、サーバーへの「初期」要求がなくてもリダイレクトされます...

すべてのクライアント側でページのキャッシュをクリアする必要があるので、HTTPSでページを実行し続けるために証明書(たとえば、暗号化しましょう)を無料で取得することを考えます...すべてのクライアントをサポートするよりも作業ははるかに少ないと思います最近あなたのページを訪れた人。

0
Kamil J