Temos um domínio com HSTS e HPKP habilitados e funcionando. Por alguns motivos, gostaríamos de desativá-lo, não imediatamente, mas assim que a chave expirar. Isso significa que o site permaneceria acessível por meio de HTTPS, como é agora, mas sem os mecanismos HSTS abd HPKP.
Que passos devemos tomar para fazer isso sem problemas?
Apenas pare de adicionar os cabeçalhos HPKP ( Public-Key-Pins ) e HSTS ( Strict-Transport-Security ) às respostas e, depois que o maior
max-agevalor de qualquer um deles expirar (o que significa que nenhum cliente se lembrará mais que seu site os ativou ), seu site estará livre de HPKP e HSTS.Lembre-se também de que, se você tiver
max-ageum HPKP maior do que o tempo de vida restante do certificado atual, ainda precisará usar a chave de backup para renovação do certificado ou os clientes que ainda se lembrarem do hash da chave de backup pensarão que algo desagradável está acontecendo no certificado substituição/renovação.Mas é uma intenção realmente estranha - enquanto a Web está se movendo para um estado mais seguro, você deseja se mover na direção oposta.
Não pare de enviar cabeçalhos. Defina o cabeçalho para expirar antes de se aposentar
Configuração do bloco do servidor Nginx
Um cliente anterior meu mudou de hospedagem sem limpar o HSTS e seu novo host não ofereceu SSL. O site deles não era amado e os navegadores dos clientes que eles rotineiramente bloqueavam o site não https (para o qual eles se mudaram).