我从一个陌生人那里购买了一个域名,似乎他使用 HSTS 预加载保护了该域名。
HSTS 是否绑定到激活 HSTS 时使用的特定证书,或者我是否可以为域创建一个新证书并通过 .htaccess 再次激活 HSTS?
删除 HSTS 是一个可用的场景吗?我读了很多帖子,说删除 HSTS 并不那么容易。
答案1
HSTS 或 Strict-Transport-Security 标头指定只能通过 HTTPS 访问该网站。它没有指定有关证书的任何信息,因此您可以在任何用户能够通过 HTTPS 访问您网站的地方购买新证书。
还有另一种技术可以限制可以使用的证书,HTTP 公钥固定 (HPKP)如果前任所有者这样做了,那么您只能使用原始证书或来自特定 CA 的证书。
理论上,HSTS可以禁用通过在标头中指定max-age=0。但是,此标头只能通过 HTTPS 提供,因此无论如何您都需要 HTTPS 来禁用它。
答案2
HSTS 与域名(通常是子域名)绑定,而不是证书。includeSubDomains如果包含子域名,则包含在标头中。但是,提交到预加载列表时需要这样做,因此您的域名也需要这样做。
我建议保留 HTTPS(参见这里)。因此您应该将 HTTP 重定向到 HTTPS,然后继续为所有 HTTPS 响应设置标头。
无论您的意愿是什么,您都可以更新标题以设置您自己的 HSTS 策略(用于max-age=0删除 HTTPS 强制执行,但请注意,这也必须通过 HTTPS 进行设置),然后将您的网站重新提交到预加载列表以进行更新。
如果您删除 HTTPS 强制执行,那么除非您的网站当前支持 HTTPS,否则使用支持预加载列表的浏览器的任何人都将无法连接到它,直到您的条目更新并且该浏览器版本部署为止。
简短的回答是是可以删除 HSTS,但是A)你为什么想这么做?b)这会需要一段时间,你会有同时支持HTTPS。