最近、サイトのサーバーを切り替えたところ、復号化された SSL キーを紛失してしまい、暗号化された SSL キーのパスワードを思い出せなくなりました。サーバーが HSTS をオンに設定していたことが判明しました。有効な SSL 証明書を持っていないため、多くの訪問者がページを読み込めず、ブラウザが HSTS のために http 経由の接続を拒否しています。
そのため、ブラウザーからその HSTS を無効にする方法が必要です。閲覧データを消去するように依頼することはできませんが、firefox/chrome 互換の javascript を作成して消去できるかどうか疑問に思っていました。(スクリプトは別のドメインにあります)
私は少し掘り下げてきましたが、可能であれば問題にどのように取り組むべきかについての情報はあまり見つかりませんでした。他のすべての提案も大歓迎です。
HSTS はトレードオフを行うためにあります。ブラウザが信頼できる安全な SSL 接続を今後永久に提供する責任を負います。これにより、ブラウザはドメインへの SSL 接続以外を拒否します。追加の負担がかかりますが、訪問者のセキュリティが向上します。
ブラウザーは、この設定を内部データベースに保存します。このデータベースは、どの Web サイトでも消去できません。どのサイトでも Javascript を介してこの設定を簡単に取り消すことができるとしたら、システム全体が無意味になります。
データベースを手動でクリアするか、その特定のエントリを削除する必要があります。ブラウザーごとにやり方が異なります。概要については、http://classically.me/blogs/how-clear-hsts-settings-major-browsersを参照してください。
本当の解決策:
最近では、有効な証明書を無料で取得するか、サンドイッチよりも安く (8 ドル程度) 取得できます。