HSTSとHPKPを無効にする
HSTSとHPKPが有効で機能しているドメインがあります。いくつかの理由で、すぐにではなく、キーの有効期限が切れたらすぐに無効にします。これは、サイトが現在のようにHTTPSを介してアクセス可能なままであることを意味しますが、HSTSとHPKPメカニズムはありません。
これをスムーズに行うには、どのような手順を踏む必要がありますか?
HPKP(Public-Key-Pins)およびHSTS(Strict-Transport-Security)ヘッダーを回答に追加するのをやめ、最大のmax-age値の後にこれらのいずれかが期限切れになり(つまり、サイトでこれらが有効になったことをクライアントが記憶しなくなります)、サイトにはHPKPとHSTSの両方がなくなります。
また、HPKPのmax-ageが現在の証明書の残りの有効期間よりも大きい場合でも、証明書の更新にバックアップキーを使用する必要があります。そうしないと、クライアントがバックアップキーハッシュを記憶していると、何か厄介なことが考えられます。証明書の交換/更新で発生しています。
しかし、それは本当に奇妙な意図です。Webがより安全な状態に移行している間、あなたは反対方向に移行したいと考えています。
ヘッダーの送信を停止するだけではいけません。終了する前に期限切れになるようにヘッダーを設定します
Nginxサーバーブロック構成
add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';
ところで、pin-sha256は偽物であり、私のコピーを貼り付けるメリットはありません。重要な部分は
max-age=0;パート。そうすれば、3、6、9 +か月以内にヘッダーを削除すると、それが完了します。
私の過去のクライアントはHSTSをクリアせずにホスティングを移動し、新しいホストはSSLを提供しませんでした。彼らのサイトは愛されておらず、https以外のサイト(移動先)を定期的にブロックしていた顧客のブラウザがありました。