Desativar HSTS e HPKP

1

Temos um domínio com HSTS e HPKP ativado e funcionando. Por alguns motivos, gostaríamos de desativá-lo, não imediatamente, mas assim que a chave expirar. Isso significa que o site permanecerá acessível por meio de HTTPS, como é agora, mas sem os mecanismos de HSK abd HPKP.

Que passos devemos seguir para fazer isso sem problemas?

    
por TheMadCat 18.10.2016 / 19:56

2 respostas

1

Basta parar de adicionar os cabeçalhos HPKP ( Public-Key-Pins ) e HSTS ( Strict-Transport-Security ) às respostas e após o maior valor max-age Se um desses itens expirar (ou seja, nenhum cliente se lembrará de que o site está ativado), seu site estará livre de HPKP e HSTS.

Lembre-se também de que, se você tiver max-age para HPKP maior que a vida útil restante do certificado atual, ainda precisará usar a chave de backup para a renovação do certificado ou os clientes que ainda estiverem lembrando o hash da chave de backup desagradável está acontecendo na substituição / renovação do certificado.

Mas é uma intenção muito estranha - enquanto a Web está se movendo para um estado mais seguro, você deseja se mover na direção oposta.

    
por 18.10.2016 / 22:08
0

Não pare de enviar cabeçalhos. Defina o cabeçalho para expirar antes de se aposentar

Configuração do bloco do servidor Nginx

add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';

Btw the pin-sha256 is fake, there is no benefit to copy-pasting mine. The important part is the max-age=0; part. That way when you do remove headers in 3, 6, 9 + months time, it's done.

Um antigo cliente migrou da hospedagem sem limpar a HSTS e seu novo host não ofereceu SSL. Seu site não era amado e os navegadores de clientes que tinham rotineiramente bloqueado o site não-https (para o qual eles se mudaram).

    
por 20.12.2017 / 23:40

Tags