1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Gestire HSTS di un sito web/hosting
Questa guida spiega come disattivare o configurare HSTS per un sito web.
Premessa
- Quando HSTS è attivato per un sito web, il server indica al visitatore del sito (se il suo browser web è compatibile) di sostituire tutti i collegamenti non sicuri con collegamenti sicuri.
- Esempio:
http://www.exemple.com/une/page/viene automaticamente sostituito dahttps://www.exemple.com/une/page/. - Dopo aver attivato un certificato SSL su un sito web, l'HSTS viene configurato come segue:
max-age=16000000.
Disattivare HSTS…
… con un CMS (WordPress, Joomla, ecc.)
Includere in tutte le pagine generate dal CMS la seguente riga:
header( 'Strict-Transport-Security: max-age=0;' );Per WordPress, è ad esempio possibile aggiungere questa direttiva nel file functions.php del tuo tema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Maggiori dettagli su WordPress
… con un sito PHP
Includere la seguente riga in tutte le pagine php:
header( 'Strict-Transport-Security: max-age=0;' );Per fare questo senza dover modificare ogni pagina php di un sito, è possibile utilizzare la direttiva auto_prepend_file nel file .user.ini del sito interessato:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... con il file hsts_disable.php seguente:
header( 'Strict-Transport-Security: max-age=0;' );… con un sito a contenuto statico (non PHP)
Includere questo header in un file .htaccess:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSPersonalizzare l'HSTS
Il valore predefinito può essere modificato nei tuoi file php del tuo sito web con la direttiva seguente:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X essendo il numero di secondi desiderato).
Attivare HSTS per tutti i sottodomini ospitati
includeSubDomains; è attivato per impostazione predefinita e, come indica il nome, include i sottodomini nelle "Strict Transport Security".
Quando il visitatore accede a un sottodominio non sicuro, il browser reindirizzerĂ automaticamente a HTTPS e causerĂ un errore di sicurezza.
Se questo comportamento non è desiderato, è necessario rimuovere questo header.
Cancellare la cache HSTS del browser…
… su Chrome
- In Chrome, digita chrome://net-internals/#hsts
- Inserisci il nome di dominio nel campo di testo della sezione "Elimina le politiche di sicurezza del dominio".
- Clicca sul pulsante Elimina.
- Inserisci il nome di dominio nel campo di testo della sezione "Query HSTS".
- Fai clic sul pulsante Query.
- La risposta deve essere "
Not found" (non trovato).
… su Safari
- Con Safari, iniziate chiudendo il browser.
- Elimina il file
~/Library/Cookies/HSTS.plist. - Riapri Safari.
… su Firefox
- Con Firefox, chiudi tutti i tab.
- Apri il menu di Firefox e clicca su Cronologia / Visualizza cronologia.
- Cerca la pagina di cui vuoi eliminare le preferenze HSTS.
- Fate clic con il tasto destro del mouse su una delle voci corrispondenti.
- Scegli Dimentica questo sito.