1000 FAQ, 500 tutorial e video esplicativi. Qui ci sono delle soluzioni!
Disattivare o personalizzare l'HSTS di un sito Web/hosting
Questa guida spiega come disattivare o impostare i parametri HSTS per un sito Web. Quando HSTS è attivo per un sito web, il server indica al visitatore del sito (se il suo browser Internet è compatibile) di sostituire tutti i link non sicuri con link sicuri. Ad esempio, http://www.exemple.com/une/page/ viene automaticamente sostituito da https://www.exemple.com/une/page/
Dopo aver attivato un certificato SSL su un sito Web, l'HSTS è configurato come segue:
max-age=16000000Disattivare HSTS
1. con un CMS (WordPress, Joomla, ecc.)
È necessario includere in tutte le pagine generate dal CMS il seguente rigo:
header( 'Strict-Transport-Security: max-age=0;' );
Per WordPress, è ad esempio possibile aggiungere questa istruzione nel file functions.php del tuo tema:
add_action( 'send_headers', 'add_header_xua' );function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}
Per i dettagli su WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers
2. con un sito PHP
È necessario includere il seguente rigo in tutte le pagine php:
header( 'Strict-Transport-Security: max-age=0;' );
Per farlo senza modificare ciascuna pagina php di un sito, è possibile utilizzare l'istruzione auto_prepend_file nel file .user.ini del sito in questione:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php
... con il seguente file hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );
3. con un sito dal contenuto statico (non PHP)
È necessario includere questo header nel file .htaccess:
# BEGIN DISABLE HSTS
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
# END DISABLE HSTS
Personalizzare l'HSTS
Il valore predefinito può essere modificato nei tuoi file php del tuo sito Internet con la seguente istruzione:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );
(dove X è il numero di secondi desiderato)
Attivare HSTS per tutti i sotto-domini ospitati
includeSubDomains; è attivato come predefinito e come indicato dal suo nome includerà i sotto-domini negli "Strict Transport Security".
Quando il visitatore va in un sotto-dominio non sicuro, il browser lo reindirizzerà verso HTTPS automaticamente e provocherà un errore di sicurezza.
Se non si desidera questo comportamento, occorre rimuovere questa intestazione.
Svuotare la cache HSTS del tuo browser
- In Chrome, digitare chrome://net-internals/#hsts
- Inserire il nome di dominio nel campo di testo della sezione "Delete domain security policies"
- Cliccare sul pulsante Delete
- Inserire il nome di dominio nel campo di testo della sezione "Query HSTS"
- Cliccare sul pulsante Query
- La risposta deve essere "Not found" (non trovato)
- Con Safari, chiudere per prima cosa il browser
- Cancellare il file ~/Library/Cookies/HSTS.plist
- Riaprire Safari
- Con Firefox, chiudere tutte le schede
- Aprire il menu di Firefox e cliccare su Cronologia/Visualizza cronologia.
- Cercare la pagina di cui vuoi eliminare le preferenze HSTS
- Fare clic con il tasto destro del mouse su una delle voci corrispondenti
- Selezionare Dimentica questo sito