我有一个IIS 6.0服务器而且我不再使用SSL证书(由于某些功能更改,不再需要它,没有我可以使用的有效证书)。我有没有办法将用户重定向到已经有https登录的http网站?
我尝试使用自签名证书并将URL重写为http版本,但浏览器在使用web.config重定向之前会收到有关自签名证书的警告。
我还尝试删除端口443作为HTTPS绑定并将端口443添加为HTTP绑定但它不起作用。当我试图启动网站时,我收到一个错误,表明该端口已在使用中。
答案 0 :(得分:3)
不,你不能。
在初始HTTPS请求发生后,从HTTPS到HTTP的重定向发生,并且此请求需要使用有效的证书。 如果您有可能做的事情,那么降级MITM攻击将非常容易。
也许完全关闭端口443可能会让您的用户尝试使用普通的HTTP,但如果他们不了解您的网站,他们真的应该认为这是一种潜在的攻击。</ p>
答案 1 :(得分:2)
你想要什么是不可能的,因为它首先必须在获得HTTP重定向之前进行SSL连接(导致警告)。而且,这个问题几乎每天都会被问到,所以你应该找到足够的答案。