Questa guida spiega come disattivare o configurare HSTS per un sito Web.

Premessa

• Quando HSTS è attivato per un sito Web, il server indica al visitatore del sito (se il suo browser Web è compatibile) di sostituire tutti i link non sicuri con link sicuri.
• Esempio: http://www.domain.xyz.com/one/page/ viene automaticamente sostituito da https://www.domain.xyz/one/page/.
• Dopo aver attivato un certificato SSL su un sito Web, HSTS è configurato come segue: max-age=16000000.

Disattivare HSTS…

… con un CMS (WordPress, Joomla, ecc.)

Includere in tutte le pagine generate dal CMS la seguente riga:

header( 'Strict-Transport-Security: max-age=0;' );

Per WordPress, ad esempio, è possibile aggiungere questa direttiva nel file functions.php del tema:

add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}

Maggiori dettagli su WordPress

… con un sito PHP

Includere la seguente riga in tutte le pagine php:

header( 'Strict-Transport-Security: max-age=0;' );

Per fare questo senza dover modificare ogni pagina php di un sito, è possibile utilizzare la direttiva auto_prepend_file nel file .user.ini del sito interessato:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... con il file hsts_disable.php seguente:

header( 'Strict-Transport-Security: max-age=0;' );

… con un sito a contenuto statico (non PHP)

Includere questo header in un file .htaccess:

# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS

Personalizzare HSTS

header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );

includeSubDomains; è attivato per impostazione predefinita e, come indica il nome, include i sottodomini nelle "Strict Transport Security".

Quando il visitatore accede a un sottodominio non sicuro, il browser reindirizzerà automaticamente a HTTPS e causerà un errore di sicurezza.

Se questo comportamento non è desiderato, è necessario rimuovere questo header.

Cancellare la cache HSTS del browser…

… su Chrome

1. In Chrome, digitate chrome://net-internals/#hsts.
2. Inserisci il nome di dominio nel campo di testo della sezione "Elimina le politiche di sicurezza del dominio".
3. Fai clic sul pulsante Elimina.
4. Inserisci il nome di dominio nel campo di testo della sezione "Interroga HSTS".
5. Fai clic sul pulsante Interroga.
6. La risposta deve essere "Non trovato" (non trovato).

… su Safari

1. Con Safari, inizia chiudendo il browser.
2. Cancella il file ~/Library/Cookies/HSTS.plist.
3. Riapri Safari.

… su Firefox

1. Con Firefox, chiudi tutte le schede.
2. Apri il menu di Firefox e fai clic su Cronologia / Visualizza cronologia.
3. Cerca la pagina delle cui preferenze HSTS desideri eliminare.
4. Esegui un clic destro su una delle voci corrispondenti.
5. Scegli Dimentica questo sito.