У нас есть домен с включенными и работающими HSTS и HPKP. По нескольким причинам мы хотели бы отключить его не сразу, а сразу после истечения срока действия ключа. Это означает, что сайт будет оставаться доступным через HTTPS, как сейчас, но без механизмов HSTS и HPKP.
Какие шаги мы должны предпринять, чтобы сделать это плавно?
Просто перестаньте добавлять заголовки HPKP(Public-Key-Pins) и HSTS(Strict-Transport-Security), и после того, как истечет наибольшее max-age
значение любого из них (это означает, что ни один клиент не вспомнит, что на вашем сайте была включена эта функция), ваш сайт будет свободен как от HPKP, так и от HSTS.
Также следует помнить, что если у вас max-age
для HPKP больше, чем осталось до истечения срока действия вашего текущего сертификата, вам все равно придется использовать резервный ключ для обновления сертификата, или клиенты, все еще использующие хэш вашего резервного ключа, подумают, что происходит что-то неприятное с заменой/обновлением сертификата.
Но это действительно странное намерение - пока Веб переходит в более безопасное состояние, вы хотите двигаться в обратном направлении.
.Не прекращайте просто отправлять заголовки. Установите срок действия заголовка перед удалением
add_header Public-Key-Pins 'pin-sha256="hdkehrh4jrhi7h37ei3iehkhw=";max-age=0;includeSubdomains';
Между прочим, pin-sha256 является поддельным, копирование и вставка моего не дает никаких преимуществ. Важная часть - это
max-age = 0;
часть. Таким образом, когда вы удаляете заголовки через 3, 6, 9 + месяцев, это будет сделано.
Мой прошлый клиент перенес хостинг без очистки HSTS, и его новый хост не предлагал им SSL. Их сайт не любили, и браузеры клиентов, которых они обычно блокировали, не https-сайт (на который они перешли).