HSTS安全域迁移

Question

我从一个陌生人那里买了一个域名，似乎他用HSTS-预压来保护域名。

HSTS是否绑定到激活HSTS时使用的特定证书，还是我可以为域创建一个新的证书并通过.htaccess再次激活HSTS？

删除HSTS是一个可用的场景吗？我读了很多文章说要删除HSTS不可能那么容易。

Answer 1

HSTS或严格传输安全标头指定站点只能通过HTTPS访问。它没有指定任何关于证书的内容，所以您可以在用户能够通过HTTPS访问您的站点的任何地方购买新的证书。

还有一种限制可以使用哪个证书的技术，HTTP公钥钉扎(HPKP)。如果前面的所有者这样做了，那么您只能使用原始证书或来自特定CA的证书。

理论上，HSTS通过在头中指定可以被禁用来实现max-age=0。但是，这个标头只能在HTTPS上服务，所以您无论如何都需要HTTPS来禁用它。

Answer 2

HSTS绑定到域(通常是子域)，而不是证书。如果包含子域，则头中包含includeSubDomains。但是，为了提交到预加载列表，这是必需的，所以这将是您的域的情况。

我建议保留HTTPS (参见这里)。因此，您应该将HTTP重定向到HTTPS，然后继续为所有HTTPS响应设置标头。

无论您想要什么，您都可以更新标题以设置自己的HSTS策略(使用max-age=0删除HTTPS的强制执行，但请注意，这必须在HTTPS之上设置)，然后将站点重新提交到预加载列表中以便进行更新。

如果您删除HTTPS强制执行，那么除非您的站点当前支持HTTPS，否则在更新条目和部署该浏览器版本之前，使用预加载列表支持浏览器的任何人都无法连接到它。

所以简单的回答是可以删除HSTS，但是( a)为什么要删除HSTS？这将需要一段时间，同时您必须支持HTTPS。