Ubuntu 14.04.2 LTS で Chrome バージョン 32.0.1700.107 を使用しています。キャッシュをクリアすると、HSTS セットにドメインが残っていないように見えますが、一部はプリロードされているはずです。mail.google.com など、安全だと思われる古いドメインを使用していますが、chrome://net-internals/#hsts の「クエリ ドメイン」の下に、実際に mail.google にアクセスするまで「見つかりません」と表示されます。 .com は初めてです。

これは、サイトを事前にロードするという点に勝っているようです。何かご意見は？

最近、サイトのサーバーを切り替えたところ、復号化された SSL キーを紛失してしまい、暗号化された SSL キーのパスワードを思い出せなくなりました。サーバーが HSTS をオンに設定していたことが判明しました。有効な SSL 証明書を持っていないため、多くの訪問者がページを読み込めず、ブラウザが HSTS のために http 経由の接続を拒否しています。

そのため、ブラウザーからその HSTS を無効にする方法が必要です。閲覧データを消去するように依頼することはできませんが、firefox/chrome 互換の javascript を作成して消去できるかどうか疑問に思っていました。(スクリプトは別のドメインにあります)

私は少し掘り下げてきましたが、可能であれば問題にどのように取り組むべきかについての情報はあまり見つかりませんでした。他のすべての提案も大歓迎です。

私の環境：

1.) 1 つの負荷分散サーバー (nginx)

2.) 2 つの Web サーバー (node.js 上で実行される Express.js)

3.) 1 つのデータベース サーバー

こんにちは、ユーザーに https の使用を強制しようとしています。Express.js で https を実装する方法については、多くのチュートリアルを参照してください。

ただし、多くのチュートリアルを調べたところ、ユーザーの http を https にリダイレクトする方法が 2 つあります。

1. ユーザーを nginx config の https にリダイレクトする (負荷分散サーバー上)
2. ユーザーをexpress.jsのhttpsにリダイレクトする（Webサーバー上）

私の質問は：

• これは、Web アプリ (負荷分散または Web サーバー) に HSTS を実装するためのより良い方法です。

• また、各オプションの長所と短所について少し情報を提供してください

どうもありがとうございました ：）

uwsgi のスニペットの 1 つに従って、hsts を有効にしようとしました。これが私の現在の構成です：

私がやろうとしているのは、localhost 以外のすべてに hsts を適用することです。サイトは localhost で動作しますが、heroku では、ホームページへのリクエストはまったくリダイレ​​クトされず、静的アセットへのリクエストは無限ループに入り、https リクエストでさえリダイレクトされます。

編集

問題は、Heroku のロード バランサーが dyno に安全に接続されていないことです。X-Forwarded-Protoヘッダーに基づいてルーティングする方法、またはプロトコルを含む完全なリクエスト URL に基づいてルーティングする方法はあり^https:ますか?