Wie Chrome HSTS permanent für eine Sub-Domain

Question

Ich habe folgende Konfiguration zu deaktivieren. Alles funktioniert gut hier. Darüber hinaus gibt es verschiedene Entwicklungsversionen der Anwendung für unser QA-Team, die über http://develop.app.domain.de erreichbar sind (hier wird kein HTTPS benötigt).

Das Problem beginnt hier: Sobald ich https://app.domain.de Chrome (und ich denke, auch andere browers) nach vorne http://develop.app.domain.de (kein HTTPS) auch https://develop.app.domain.de (HTTPS) zu besuchen. Ich kann natürlich deaktivieren HSTS und löschen Sie den Cache für diese Domain und http://develop.app.domain.de wird wieder funktionieren, aber nur, bis ich https://app.domain.de wieder besuchen.

Ich kann HTTPS nicht für unsere Entwicklungsumgebungen aktivieren, da Sie mindestens einen Hobby-Plan in Heroku benötigen, und das wäre daher eine Geldverschwendung für alle unsere Entwicklungs- und Testversionen der Anwendung. Ich möchte auch das URL-Schema beibehalten.

Also meine Fragen ist, wie kann ich diese böse Weiterleitung (HSTS) dauerhaft deaktivieren?

Answer 1

In der Hauptdomäne können Sie die Option includesubdomains Ihres HSTS-Headers entfernen, sodass die Subdomäne nicht umgeleitet wird.

Dies ist jedoch nicht die sicherste Lösung. Um effektiv zu sein, ist es besser, HSTS + includesubdomains auf all Ihren Domains und Subdomains zu setzen (oder ein Angreiferauto zum Beispiel die Domain "http://secure.yourdomain.com" vortäuscht).

Die sicherste Lösung ist, ein selbstsigniertes Zertifikat (oder ein echtes) für Ihre Entwicklerdomänen zu verwenden und es vorher in Ihren Browser zu importieren.

Answer 2

HSTS ist nicht "böse" - es ist eine Sicherheitsfunktion. Und eine, die deine Domain freiwillig aktiviert hat!

Sie können die Option includeSubDomains aus der Produktion entfernen, sodass sie nur auf die Top-Level-Domain und nicht auf Subdomains angewendet wird, vorausgesetzt, Sie haben sie nicht vorab in Webbrowser geladen (bitte sagen Sie, dass Sie sie nicht vorher geladen haben) das hat zur Folge! - Sie können dies überprüfen, indem Sie Ihre Hauptdomain über die SSL Labs testing tool ausführen.

Die Welt bewegt sich jedoch überall hin zu HTTPS und Ihre Entwicklungsumgebungen spiegeln nicht die Produktion wider. Einige Funktionen (HTTP/2, Geolocation ... usw.) funktionieren nur bei Verwendung von HTTPS und this list is growing. Abhängig davon, wie Sie Ressourcen entwickeln und referenzieren, können Sie nach der Bereitstellung in der Produktion Warnmeldungen für gemischte Inhalte oder fehlende Inhalte sehen. Also meiner Meinung nach brauchen Sie DO HTTPS in Ihrer Entwicklung/QA-Umgebungen. Obwohl ich Ihre Plattform nicht kenne, ist es wirklich besser herauszufinden, wie Sie HTTPS in Ihren Entwicklungsumgebungen einrichten, anstatt zu versuchen, dies zu umgehen. Selbstsignierte Zertifikate können kostenlos erstellt und in Ihrer Testumgebung als vertrauenswürdig eingestuft werden, sodass sie für eine ausgewählte Anzahl von Benutzern nicht von echten Zertifikaten unterschieden werden können.

Answer 3

Sie können "badidea" irgendwo auf der Google Chrome-Warnseite eingeben und es wird ohne Warnung geladen. Kein Witz.