A idéia do cabeçalho HSTS é que cada cliente que visita a página deve armazenar localmente as informações "até o momento ([agora] + [max-age] segundos), este site deve ser acessado usando somente HTTPS". Destina-se a impedir ataques man-in-the-middle tentando fazer o cliente usar uma conexão não criptografada.
Assim, qualquer tentativa do lado do servidor de redirecionar o cliente para uma versão HTTP da página que costumava ter um cabeçalho HSTS não expirado provavelmente produzirá uma mensagem de aviso assustadora para o usuário. A única maneira de evitar isso (além de esperar que o período de HSTS especificado expire) é excluir as informações de HSTS armazenadas de qualquer cliente que tenha visitado o site enquanto o cabeçalho de HSTS estava em uso.
Veja as instruções para este procedimento no Chrome e no Firefox.
Instruções para o Chrome
Navegue para: chrome: // net-internals / # hsts
Em seguida, digite o nome completo do seu site na caixa "Domínio da Consulta", clique no botão Consulta e verifique se as informações do HSTS estão lá. Em seguida, digite o mesmo nome na seção "Excluir políticas de segurança de domínio" e clique em Excluir.
Instruções para o Firefox
Feche todas as guias abertas e abra a janela completa do histórico (pressione Control-Shift-H no Windows / Linux, Command-Shift-H nos Macs ou selecione Histórico - > Mostrar todo o histórico na barra de menus se estiver visível ). Encontre o site, clique com o botão direito nele e selecione Esquecer sobre este site.
Se você precisar de um método que possa ser automatizado, também poderá editar o arquivo SiteSecurityServiceState.txt no diretório de perfil do Firefox quando o Firefox não estiver em execução . O editor que você usa deve usar finais de linha estilo Unix / Linux. Encontre a linha que começa com <fully-qualified name of your site>:HSTS e exclua-a.