TheMadCat Asked: 2016-10-19 09:56:14 +0800 CST2016-10-19 09:56:14 +0800 CST 2016-10-19 09:56:14 +0800 CST 禁用 HSTS 和 HPKP 772 我们有一个启用了 HSTS 和 HPKP 且正常工作的域。出于几个原因,我们想禁用它,不是立即禁用,而是在密钥过期后立即禁用。这意味着该站点仍然可以通过 HTTPS 访问,就像现在一样,但没有 HSTS abd HPKP 机制。 我们应该采取哪些步骤才能顺利完成这项工作? hsts hpkp 2 个回答 Voted Best Answer drookie 2016-10-19T12:08:31+08:002016-10-19T12:08:31+08:00 只需停止将 HPKP( Public-Key-Pins ) 和 HSTS( Strict-Transport-Security ) 标头添加到答案中,并且在其中max-age任何一个的最大值将过期之后(这意味着没有客户会再记得您的网站启用了这些),您的站点将不包含 HPKP 和 HSTS。 还要记住,如果您max-age的 HPKP 大于您当前证书的剩余寿命,您仍然需要使用备份密钥来更新证书,或者仍然记住您的备份密钥哈希的客户端会认为证书上发生了一些令人讨厌的事情更换/更新。 但这是一个非常奇怪的意图 - 当 Web 正在向更安全的状态移动时,您希望向相反的方向移动。 MrMesees 2017-12-21T14:40:48+08:002017-12-21T14:40:48+08:00 不要只是停止发送标头。将标头设置为在退休前过期 Nginx 服务器块配置 add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains'; 顺便说一句,pin-sha256是假的,复制粘贴我的没有任何好处。重要的部分是max-age=0;部分。这样,当您在 3、6、9 个多月的时间内删除标题时,它就完成了。 我的一个过去的客户在没有清除 HSTS 的情况下移动了主机,他们的新主机没有为他们提供 SSL。他们的网站不受欢迎,客户的浏览器通常会阻止非 https 网站(这是他们转移到的网站)。
只需停止将 HPKP( Public-Key-Pins ) 和 HSTS( Strict-Transport-Security ) 标头添加到答案中,并且在其中
max-age任何一个的最大值将过期之后(这意味着没有客户会再记得您的网站启用了这些),您的站点将不包含 HPKP 和 HSTS。还要记住,如果您
max-age的 HPKP 大于您当前证书的剩余寿命,您仍然需要使用备份密钥来更新证书,或者仍然记住您的备份密钥哈希的客户端会认为证书上发生了一些令人讨厌的事情更换/更新。但这是一个非常奇怪的意图 - 当 Web 正在向更安全的状态移动时,您希望向相反的方向移动。
不要只是停止发送标头。将标头设置为在退休前过期
Nginx 服务器块配置
我的一个过去的客户在没有清除 HSTS 的情况下移动了主机,他们的新主机没有为他们提供 SSL。他们的网站不受欢迎,客户的浏览器通常会阻止非 https 网站(这是他们转移到的网站)。