12

最近、Heroku で実行している Rails アプリのドメインを変更しました。オリジナルを新しいものにリダイレクトし、ここ数か月間、両方で SSL を実行しています。リダイレクトだけなので、元のドメインから SSL を削除しようとしました。

私がやるべきだと思ったことはすべてやりました:

  • config.force_ssl = falseproduction.rbでアプリの SSL をオフにしました
  • 「myapp.herokuapp.com」を指すように DNS エイリアスと CNAME を変更しました
  • SSL エンドポイントと証明書を削除しました

myapp.herokuapp.com にアクセスすると問題ありませんが、myapp.com または www.myapp.com にアクセスすると、サイトの安全なバージョンであるhttps://myapp.comに自動的に移動しようとします。 、ブラウザから標準のセキュリティ エラー警告が表示されます。

何か不足していますか?キャッシングの問題ですか?DNS の変更が反映されるまでに時間がかかるだけですか? いくつかのマシン/ブラウザで試しましたが、問題はそれらすべてで一貫しています。

最悪の場合、SSL エンドポイントを元に戻すことは間違いありませんが、やり過ぎのようです。

4

2 に答える 2

6

Jan が言ったことに加えて、私がこのトリックを実行するために行ったことを次に示します。

application_controller.rb で:

before_filter :expire_hsts

[...]
private
  def expire_hsts
    response.headers["Strict-Transport-Security"] = 'max-age=0'
  end

production.rbで

config.force_ssl = false

Web ブラウザのキャッシュをクリアすれば完了です。

于 2014-09-24T07:14:46.170 に答える