Questa guida spiega come disattivare o configurare HSTS per un sito web.

Premessa

• Quando HSTS è attivato per un sito web, il server indica al visitatore del sito (se il suo browser web è compatibile) di sostituire tutti i link non sicuri con link sicuri.
• Esempio: http://www.esempio.com/una/pagina/ viene automaticamente sostituito da https://www.esempio.com/una/pagina/.
• Dopo aver attivato un certificato SSL su un sito web, HSTS viene configurato come segue: max-age=16000000.

Disattivare HSTS…

… con un CMS (WordPress, Joomla, ecc.)

Includere in tutte le pagine generate dal CMS la seguente riga:

header( 'Strict-Transport-Security: max-age=0;' );

Per WordPress, è possibile, ad esempio, aggiungere questa direttiva nel file functions.php del tema:

add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}

Dettagli su WordPress

… con un sito PHP

Includere la seguente riga in tutte le pagine php:

header( 'Strict-Transport-Security: max-age=0;' );

Per fare questo senza dover modificare ogni pagina php di un sito, è possibile utilizzare la direttiva auto_prepend_file nel file .user.ini del sito interessato:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... con il file hsts_disable.php seguente:

header( 'Strict-Transport-Security: max-age=0;' );

… con un sito a contenuto statico (non PHP)

Includere questo header in un file .htaccess:

# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS

Personalizzare HSTS

header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );

includeSubDomains; è attivato per impostazione predefinita e, come indica il nome, include i sottodomini nelle "Strict Transport Security".

Quando il visitatore accede a un sottodominio non sicuro, il browser reindirizzerà automaticamente a HTTPS e causerà un errore di sicurezza.

Se questo comportamento non è desiderato, è necessario rimuovere questo header.

Cancellare la cache HSTS del browser…

… su Chrome

1. In Chrome, digitate chrome://net-internals/#hsts.
2. Inserisci il nome di dominio nel campo di testo della sezione "Elimina le politiche di sicurezza del dominio".
3. Clicca sul pulsante Elimina.
4. Inserisci il nome di dominio nel campo di testo della sezione "Interroga HSTS".
5. Clicca sul pulsante Interroga.
6. La risposta deve essere "Non trovato" (non trovato).

… su Safari

1. Con Safari, iniziate chiudendo il browser.
2. Cancellate il file ~/Library/Cookies/HSTS.plist.
3. Riaprite Safari.

… su Firefox

1. Con Firefox, chiudete tutte le schede.
2. Aprite il menu di Firefox e cliccate su Cronologia / Visualizza cronologia.
3. Cercate la pagina di cui volete eliminare le preferenze HSTS.
4. Effettuate un clic destro su una delle voci corrispondenti.
5. Scegliete Dimentica questo sito.