問題タブ [hsts]

Railsアプリケーションを使用していましたconfig.force_ssl = trueが、SSL暗号化は必要ありませんが、アプリは引き続きhttpsにリダイレクトされます。これはApacheのHTTPStrictTransportSecurityの問題だと読みました。どうすれば無効にできますか？

これは、 https://struct.tumblr.com/にアクセスしたときに Chrome が表示するものです。次に、これを blog.mysite.com のようなサブドメインに CNAME し、次のように Nginx 構成で HSTS をオンにします。

マルチテナント サイトにワイルドカード SSL 証明書を使用しており、ブログの名前は tumblr に変更されています。したがって、NGINX は自動的にhttps://blog.mysite.comにリダイレクトすると思います。これにより、Chrome 102 エラーが発生するため、Chrome で自分の cname からブログを表示することはできません。

どういうわけか「ブログ以外のすべてのサブドメイン」をnginxに伝えることはできますか?

ありがとう

これはばかげた質問のように思えますが、私は疑問に思っています:

• ユーザーを強制的に HTTPS にリダイレクトせずに HSTS をデプロイするにはどうすればよいですか?
• HTTP コンテンツは、HSTS を使用するドメインと同じドメインからどのように提供されますか? (サイト全体または混合コンテンツのいずれか)
• なぜ誰かがこれをするのでしょうか？

私はEFF サイトから読んでいますが、それが行われたようです:

最近、eff.org の HSTS を有効にしました。セットアップには 1 時間もかかりませんでした。また、ユーザーを強制的に HTTPS にリダイレクトせずにそれを行う方法を見つけたので、サイトを HTTP で利用できるようにしながら、HTTPS アクセスの明確な設定を述べることができます. それは魔法のように機能し、ユーザーのかなりの割合が HTTPS でサイトに自動的にアクセスするようになりました。

私が知っているように、HSTS は HTTP ヘッダーを送信することで機能します。

したがって、そのヘッダーを送信するhttps://example.net/のページにアクセスすると、ドメイン example.net への今後 31536000 秒間のすべてのリクエストは HTTPS を使用し、(応答?) が HTTP の場合、ブラウザは巨大な赤い警告が表示されます。

誰かが私のためにこれを明確にしてもらえますか? HSTS に関する私の理解は正確ですか、それとも何か不足していますか?

サーバーのssl仮想ホストにこの行を設定しました。Apache 2.x を実行しています

httpこれは大きな間違いでした。なぜなら、今はそれを削除して、時々ユーザーに強制的にページに戻してもらいたいからです。長い間有効になっていませんでしたが、誰も失いたくありません。今すぐユーザーを強制的に http ページに戻そうとすると、リダイレクト ループに陥ります。

サーバーの設定を使用して HSTS の設定を解除または期限切れにするにはどうすればよいですか? ユーザーがサイトにアクセスしてサイトのhttpsバージョンにアクセスしたときに、Strict-Transport-Security 設定がブラウザーから削除され、リダイレクトできるようにするにはどうすればよいhttpですか?

私は愚かな間違いを犯したことをすでに知っています。私は教訓を学んだので、今それを片付ける必要があります。

ただし、Google のインデックス登録は実装以降停止しています。誰にも回避策がありますか？

ユーザーが HSTS 対応の Web ページにアクセスすると、ブラウザーはこれを検出し、今後そのサイトへの要求に HTTPS を使用するようにします。AS3 でページをリクエストし、返されたページが HSTS 対応かどうかを特定する方法はありますか (SWF で AS3 を直接介して、または ExternalInterface を使用して)。