URL 提供商(例如 GoDaddy)可以强制使用 SSL 吗?

URL 提供商(例如 GoDaddy)可以强制使用 SSL 吗?

我从 GoDaddy 购买了一个带有免费 SSL 证书的 URL。

将它安装到 Apache 上没有问题(在 CentOS 上),并且运行良好,直到我尝试设置子域。子域似乎指向服务器,但它们遇到了 HSTS 错误,并被强制使用 HTTPS,而不是允许我使用 HTTP,直到我获得通配符证书。

我在 Apache 配置或 .htaccess 中找不到任何强制使用 SSL 的内容,也没有找到指向同一台服务器的另一个没有 SSL 的域,并且代码库可以通过主 url 和子域正常加载。

我是否遗漏了配置中非常明显需要检查的东西,或者 GoDaddy 是否有可能在流量到达我之前强制对其进行 SSL 保护?

答案1

HSTS 标头强制用户代理在一段时间内使用 HTTPS。是的,浏览器永远不会尝试 HTTP 连接,只尝试 HTTPS。您使用了域名停放服务,或者其他 Web 服务器发送的Strict-Transport-Security。降级到 HTTP 正是此规定所不允许的。

让 TLS 在您的域名上正常工作。如果您必须使用 HTTP 一段时间,请尝试使用其他浏览器。根据设计,HSTS 不容易关闭。

相关内容