2018/06/25

保證瀏覽器連到 https 的功能 (HSTS)

因為最近遇到一個特殊的 TLD 最上層的網域, 「.app」 ,這個網域預設 HSTS Preload 功能。
這功能一旦被開啟後,歡樂的時光就來臨了......

網域的擁有者也可以自己設定,HSTS Preload 設定下去,所有連線都需要 SSL 的功能,於是它就有了
1. 無論是否有設定 HTTPS ,瀏覽器都會轉向 HTTPS
2. 可以抵禦SSL剝離攻擊,防網站劫持。
3. 不能隨意關掉 HTTPS,萬一憑證不見或過期,只好被 BROWSER 檔掉或警告。
4. HSTS會在一定時間後失效(有效期由max-age指定) ,但是沒有人會只設定一天過期。




* 你可以到這裡檢查,網址是否被 HSTS Preload 了....
  * https://hstspreload.org
 
 
* 如果設定了,但是時間還沒有過期你可以參考這裡暫時移除
  * https://www.thesslstore.com/blog/clear-hsts-settings-chrome-firefox/
  * https://ephrain.net/chrome-%E5%B0%87%E7%B6%B2%E7%AB%99%E5%BE%9E-hsts-%E6%B8%85%E5%96%AE%E4%B8%AD%E7%A7%BB%E9%99%A4/
  * https://blog.bennyling.cc/362/clear-google-chrome-hsts-setting

  * https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security 目前已經支援的瀏覽器