1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Gestire HSTS per un sito web/hosting
Questa guida spiega come disabilitare o configurare HSTS per un sito web.
Prefazione
- quando HSTS è attivato per un sito web, il server indica al visitatore del sito (se il suo browser web è compatibile) di sostituire tutti i link non sicuri con link sicuri
- esempio:
http://www.esempio.com/una/pagina/viene automaticamente sostituito dahttps://www.esempio.com/una/pagina/ - dopo aver attivato un certificato SSL su un sito web, l'HSTS è configurato nel seguente modo:
max-age=16000000
Disabilitare HSTS
1. con un CMS (WordPress, Joomla, ecc.)
Includere la seguente riga in tutte le pagine generate dal CMS:
header( 'Strict-Transport-Security: max-age=0;' );Per WordPress, è possibile aggiungere questa direttiva nel file functions.php del proprio tema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Ulteriori dettagli su WordPress
2. con un sito PHP
Includere la seguente riga in tutte le pagine PHP:
header( 'Strict-Transport-Security: max-age=0;' );Per fare ciò senza dover modificare ogni pagina PHP di un sito, è possibile utilizzare la direttiva auto_prepend_file nel file .user.ini del sito interessato:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... con il seguente file hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );3. con un sito di contenuto statico (non PHP)
Includere questo header in un file .htaccess:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSPersonalizzare HSTS
Il valore predefinito può essere modificato nei file PHP del proprio sito web con la seguente direttiva:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X è il numero desiderato di secondi)
Abilitare HSTS per tutti i sottodomini ospitati
includeSubDomains; è attivato per impostazione predefinita e, come suggerisce il nome, includerà i sottodomini nella "Sicurezza di Trasporto Stretta".
Quando il visitatore accede a un sottodominio non sicuro, il browser reindirizzerà automaticamente a HTTPS e provocherà un errore di sicurezza.
Se questo comportamento non è desiderato, questo header deve essere rimosso.
Eliminare la cache HSTS del browser
Per fare ciò:
- in Chrome, digitare chrome://net-internals/#hsts
- inserire il nome di dominio nel campo di testo della sezione "Elimina le politiche di sicurezza del dominio"
- fare clic sul pulsante Elimina
- inserire il nome di dominio nel campo di testo della sezione "Consulta HSTS"
- fare clic sul pulsante Consulta
- la risposta deve essere "Non trovato"
- con Safari, inizia chiudendo il browser
- eliminare il file ~/Library/Cookies/HSTS.plist
- riaprire Safari
- con Firefox, chiudere tutte le schede
- aprire il menu di Firefox e fare clic su Cronologia / Mostra cronologia.
- cercare la pagina di cui si desidera eliminare le preferenze HSTS
- fare clic con il tasto destro su una delle voci corrispondenti
- scegliere Dimentica questo sito