Безопасно ли отключать предварительную загрузку HSTS, пока сайт останется доступным через HTTPS?

Строгая транспортная безопасность HTTP (HSTS) не мешает вам изменять записи DNS, чтобы они указывали на другой IP-адрес, она просто запрещает браузерам с поддержкой HSTS (которые видели заголовок HSTS или имеют был предварительно загружен, то есть Chrome) от попытки подключения через HTTP (вместо HTTPS).

Все, что он делает, это заставляет браузер с поддержкой HSTS изменять запрос для http://example.com на https://example.com перед отправкой запроса, тем самым гарантируя, что никакая информация никогда не будет отправлена ​​в открытом виде.

Предупреждение Cloudfare просто сообщает вам, что при смене хостинг-компании вам потребуется чтобы убедиться, что у вас также установлен действующий SSL на новом сайте.

Так как у вас есть действующий сертификат SSL в новом месте размещения, все готово. Просто обновите свой DNS и продолжайте!

Если вы используете SSL, нет причин для отключения HSTS . С другой стороны, отсутствие HSTS на сайте с поддержкой SSL делает этот сайт менее безопасным, поскольку трафик, который HSTS мог бы предотвратить через HTTP, может проходить через Интернет в открытом виде.

Что касается «предварительной загрузки» HSTS, то это процесс, в котором компании, подобные Google, предварительно загружают заголовок HSTS в браузер Chrome (в отличие от того, что браузеру необходимо один раз посетить сайт, прежде чем он сохранит заголовок). Как и вся информация заголовка HSTS, предварительно загруженная информация HSTS сохраняется по имени хоста, а не по IP-адресу . Вы всегда можете изменить IP-адрес, на котором размещен сайт. С другой стороны, отказ от SSL после того, как вы включили HSTS, затруднит (а то и сделает невозможным) посещение вашего сайта некоторыми пользователями.

Мы (CloudFlare) довольно быстро распространяем DNS . Есть разумная вероятность того, что кэшированная версия может быть запущена изначально, но это будет продолжаться не более 300 секунд (возможно, меньше).

Ответ Кольта правильный.

Однако, чтобы добавить еще немного о предварительной загрузке:

Если в вашем заголовке установлен тег «preload», вы можете отправить сайт в список предварительной загрузки, поэтому тот факт, что вы используете HSTS, запекается в браузере, а не на основе того, видел ли браузер последний раз заголовок в течение максимального времени.

Также кажется, что некоторые браузеры заранее добавляют ваш сайт в свои список предварительной загрузки, когда они видят заголовок, содержащий ключевое слово предварительной загрузки. Таким образом, вы можете быть предварительно загружены, даже не осознавая этого.

Проще всего проверить это на https://www.ssllabs.com/ssltest/ , а внизу находится поле HSTS Preloading, которое сообщит вам какие браузеры предварительно загружают списки, в которые включен ваш сайт.

Это важно по двум причинам:

1. Вы можете не осознавать, что ваш сайт предварительно загружен, и через некоторое время вдали от Cloudflare вы можете подумать, что отключение HTTPS безопасно, но может и не быть.

2. Вы можете оставить предварительную загрузку, но Chrome предупреждает , что в будущем они могут удалить домены из встроенного списка, если домен не будет продолжать предоставлять заголовок с ключевым словом preload . В этом случае, если вы хотите остаться, вам следует добавить правильный заголовок HSTS на свой базовый сервер.

И, наконец, вы должны знать, что предварительная загрузка (обычно) требует аргумента «includesubdomains», поэтому все поддомены вашего домена также могут быть включены список предварительной загрузки, даже если вы никогда явно не публиковали этот заголовок в поддомене.

Предварительная загрузка добавляет изрядную сложность и ограничения, поэтому необходимо полностью понимать, что это означает, если вы когда-либо захотите вернуться к HTTP по какой-либо причине.