É seguro desativar o pré-carregamento de HSTS, desde que o site permaneça acessível via HTTPS?

O HTTP Strict Transport Security (HSTS) não impede que você altere seus registros DNS para apontar para um endereço IP diferente, apenas impede que navegadores habilitados para HSTS (que viram o cabeçalho HSTS ou foram pré-carregados, por exemplo, Chrome) tentando se conectar via HTTP (vs. HTTPS).

Tudo o que isso faz é fazer com que o navegador compatível com HSTS altere uma solicitação de http://example.com para https://example.com antes enviar a solicitação, garantindo que nenhuma informação seja enviada imediatamente.

O aviso do Cloudfare apenas informa que, quando você altera as empresas de hospedagem, é necessário certificar-se de que você também tem um SSL válido instalado no novo site.

Como você tem o certificado SSL válido no novo local de hospedagem, é bom ir. Apenas atualize seu DNS e continue!

Se você estiver mantendo o SSL, não há nenhum motivo para desativar o HSTS . Por outro lado, não ter HSTS em um site com SSL torna esse site menos seguro porque o tráfego que teria sido impedido pelo HSTS de fluir via HTTP é capaz de atravessar a Internet claramente.

Até agora um "pré-carregamento" de HSTS, esse é o processo de empresas como o Google que pré-carrega o cabeçalho HSTS no navegador Chrome (em oposição ao navegador ter visitado o site antes de armazenar o cabeçalho). Como todas as informações do cabeçalho HSTS, as informações HSTS pré-carregadas são armazenadas pelo nome do host, não endereço IP. Você está sempre livre para alterar o endereço IP no qual o site está hospedado. Por outro lado, eliminar o SSL depois de ativar o HSTS é o que dificulta (se não impossibilitar) a visita de alguns usuários ao seu site.

Nós (CloudFlare) propagamos o DNS rapidamente. Há uma chance razoável de que uma versão em cache possa ser exibida inicialmente, mas não seria mais que 300 segundos (provavelmente menos).

A resposta de Colt é a certa.

No entanto, para adicionar um pouco mais de pré-carregamento:

Se você tiver a marca "preload" configurada no cabeçalho, poderá enviar o site para uma lista de pré-carregamento para que o fato de usar a HSTS seja incorporado ao navegador, em vez de se o navegador viu o cabeçalho pela última vez o tempo max-age.

Parece também que alguns navegadores adicionam proativamente seu site à lista de pré-carregamento quando vêem um cabeçalho contendo a palavra-chave preload. Então você pode ser pré-carregado sem perceber.

O local mais fácil de verificar é no link e, na parte inferior, há o campo Pré-carregamento de HSTS que informará quais pré-carregamentos dos navegadores listas em que seu site está.

Isso é importante por dois motivos:

1. Você pode não perceber que seu site está pré-carregado e, após algum tempo longe da Cloudflare, pode achar que é seguro desativar o HTTPS, mas talvez não seja.

2. É possível que você deseje permanecer pré-carregado, mas o Google Chrome está alertando que, no futuro, eles poderão remover domínios dos sites internos. lista se o domínio não continuar fornecendo o cabeçalho com a palavra-chave preload. Nesse caso, se você deseja permanecer, deve adicionar o cabeçalho HSTS correto ao servidor base.

E, finalmente, você deve estar ciente de que o pré-carregamento (geralmente) exige o argumento "includesubdomains" para que todos os subdomínios do seu domínio também estejam na lista de pré-carregamento, mesmo que você nunca tenha publicado explicitamente esse cabeçalho no subdomínio.

O pré-carregamento acrescenta um pouco de complexidade e restrições, então é necessário entender completamente o que isso significa se você quiser reverter o HTTP por algum motivo.