1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Gestire HSTS da un sito Web/hosting
Questa guida spiega come disattivare o impostare HSTS per un sito web.
Preambolo
- Quando HSTS è abilitato per un sito Web, il server indica al visitatore del sito (se il suo browser Web è compatibile) di sostituire tutti i link non protetti con link sicuri.
- Esempio:
http://www.exemple.com/une/page/viene automaticamente sostituito dahttps://www.exemple.com/une/page/. - Dopo aver attivato un certificato SSL su un sito Web, HSTS è configurato come segue:
max-age=16000000.
Disattivare HSTS...
... con un CMS (WordPress, Joomla, ecc.)
Includere in tutte le pagine generate dal CMS la seguente riga:
header( 'Strict-Transport-Security: max-age=0;' );Per WordPress, è possibile aggiungere questa direttiva al file functions.php del tuo tema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Maggiori dettagli di WordPress
... con un sito PHP
Includere la seguente riga in tutte le pagine php:
header( 'Strict-Transport-Security: max-age=0;' );Per fare questo senza dover modificare ogni pagina php di un sito, è possibile utilizzare la direttiva auto_prepend_file nel file .user.ini dal sito interessato:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... con il file hsts_disable.php seguente:
header( 'Strict-Transport-Security: max-age=0;' );... con un sito con contenuti statici (non PHP)
Includi questo header in un file .htaccess:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSPersonalizzare HSTS
Il valore predefinito può essere modificato nei file php del tuo sito web con la seguente guida:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X il numero di secondi desiderato).
Abilita HSTS per tutti i sottodomini ospitati
includeSubDomains; è abilitato per impostazione predefinita e, come suggerisce il nome, include i sottodomini in "Strict Transport Security".
Quando il visitatore va un sottodominio non sicuro, il browser reindirizzerà automaticamente all'HTTPS e causerà un errore di sicurezza.
Se questo comportamento non è desiderato, è necessario rimuovere questa intestazione.
Eliminare la cache HSTS dal browser
Per questo:
- In Chrome, digitarecromo://net-internals/hsts
- Inserisci il nome di dominio nel campo di testo della sezione "Delete domain security policies".
- Clicca sul pulsante Delete.
- Inserisci il nome di dominio nel campo di testo della sezione "Query HSTS".
- Fare clic sul pulsante Query.
- La risposta deve essere"
Not found" (non trovato).
- Con Safari, inizia chiudendo il browser.
- Cancella il file
~/Library/Cookies/HSTS.plist. - Riaprite Safari.
- Con Firefox, chiudere tutte le schede.
- Aprire il menu di Firefox e fare clic su Cronologia / Mostra cronologia.
- Cerca la pagina da cui vuoi eliminare le preferenze HSTS.
- Fare clic destro su una delle voci corrispondenti.
- Scegli Dimentica questo sito.