Desativar HSTS e HPKP

Basta parar de adicionar os cabeçalhos HPKP ( Public-Key-Pins ) e HSTS ( Strict-Transport-Security ) às respostas e após o maior valor max-age Se um desses itens expirar (ou seja, nenhum cliente se lembrará de que o site está ativado), seu site estará livre de HPKP e HSTS.

Lembre-se também de que, se você tiver max-age para HPKP maior que a vida útil restante do certificado atual, ainda precisará usar a chave de backup para a renovação do certificado ou os clientes que ainda estiverem lembrando o hash da chave de backup desagradável está acontecendo na substituição / renovação do certificado.

Mas é uma intenção muito estranha - enquanto a Web está se movendo para um estado mais seguro, você deseja se mover na direção oposta.

Não pare de enviar cabeçalhos. Defina o cabeçalho para expirar antes de se aposentar

Configuração do bloco do servidor Nginx

add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';

Btw the pin-sha256 is fake, there is no benefit to copy-pasting mine. The important part is the max-age=0; part. That way when you do remove headers in 3, 6, 9 + months time, it's done.

Um antigo cliente migrou da hospedagem sem limpar a HSTS e seu novo host não ofereceu SSL. Seu site não era amado e os navegadores de clientes que tinham rotineiramente bloqueado o site não-https (para o qual eles se mudaram).