Header always unset Strict-Transport-Security
Header add Strict-Transport-Security "max-age=0"
.htaccessに上記を追加
※VALUE SERVERで試す限りは機能してるように見えます。
情報源:
・毎目忘備録: HTTPSからHTTPサーバーに戻す方法(HSTS(HTTP Strict Transport Security)回避)
・HSTS をやめる方法 | Open the Next
HSTS機能は突破できるけど、まだGoogle検索からの流入とか・・。
懸案事項など
しかしながら既にGoogleにHTTPSでインデックスされてしまうと少々厄介。
.htaccessファイルにアクセスする前に、ブラウザはHTTPSでサーバーに接続するため、その段階でStartSSLの証明書によりエラーになってしまう。
なので、301リダイレクトで早くHTTPの方にインデックスされることを祈りつつ、暫間的にLet'sEncryptでSSL設定をするしかないと思われる。
毎目忘備録: HTTPSからHTTPサーバーに戻す方法(HSTS(HTTP Strict Transport Security)回避)
1..htaccessに上記を追加
2.httpsからhttpにリダイレクトする.htaccessを書く
3.Googleのインデックスが、httpに切り替わるまでは、SSL証明書を維持する
4.切り替わったら、完全にhttpに移行できるので、SSL証明書は必要なくなる
httpsを辞めるのには上記の手順を踏むしかなさそうなんだけど、これってかなり時間がかかるような。
httpsからhttpにリダイレクトする.htaccess
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{HTTPS} on
RewriteRule ^(.*)$ http://%{HTTP_HOST}/$1 [L,R=301]
</IfModule>
その他
Chrome
chrome://net-internals/#hstsで、自身のブラウザに関しては、無効にはできる。
メモ
・http のリクエストが勝手に https にリダイレクトされるときは Strict-Transport-Security を疑おう - べにやまぶろぐ・Google検索結果のhttpsをhttpにしたい - Google プロダクト フォーラム
・HTTPSでインデックス済みのURLをHTTPに戻すにはどうすればいいのか? | 海外&国内SEO情報ウォッチ | Web担当者Forum
・HSTS preloadを導入しよう - ヲレサイト
・HSTS Preloadingをやめました - ヲレサイト
スポンサーリンク
コメントを残す