最近,我为我的网站切换了服务器,我设法丢失了解密的SSL密钥,我忘记了加密的密码。 原来,服务器已经设置了HSTS,现在很多访问者都无法加载页面,因为我没有有效的SSL证书,并且他们的浏览器由于HSTS而拒绝通过http连接。
所以,我需要一种从浏览器中禁用HSTS的方法。要求他们清除浏览数据是不行的,但我想知道我是否可以使用firefox / chrome兼容的javascript来清除它。 (该脚本将位于不同的域中)
我一直在挖掘一下,但是如果有可能的话,还没有找到关于如何解决这个问题的大量信息。欢迎所有其他建议。
答案 0 :(得分:2)
HSTS可以进行权衡:您从现在起承担责任并永远提供浏览器可以依赖的安全SSL连接,这将导致浏览器拒绝除了与您的域的SSL连接之外的任何内容。它给您带来了额外的负担,但增加了访问者的安全性。
浏览器将此首选项存储在内部数据库中,任何网站都无法清除。如果任何网站都可以通过Javascript简单地撤销此偏好,那么整个系统将毫无意义。
您必须手动清除数据库和/或删除该特定条目。每个浏览器都采用不同的方式,请参阅http://classically.me/blogs/how-clear-hsts-settings-major-browsers了解概述。
答案 1 :(得分:2)
真正的解决方案:
现在,获得有效证书的时间是free,或者花费少于三明治(8美元左右)。