CA证书和Ingress (7) HSTS

Submitted by Lizhe on Wed, 04/24/2019 - 16:44

 

最近一直在测试 ingress 的 https 连接, 所以域名和证书频繁更换, 然后... 今天下午快被 HSTS 恶心死了

症状是换了证书或者地址之后, 浏览器认为是网站被劫持了

HSTS 会做什么呢? 在浏览器第一次访问了 www.bestofgit.com 之后, 如果此时连接被跳转到了https, 并且得到了HSTS的头标识, 那么支持HSTS的浏览器 ( 最新版的chrome ) , 会强制你的浏览器在下次访问的时候使用https连接这个网站 , 并且... 如果证书是不安全的 ( 自签名那种, 没有经过第三方认证的 ) , 那么恭喜你, 你会一直看到下面这个页面

一直到... 天荒地老 ... 当然不是, 一直到 HSTS 头中定义的时间过去, 如果它定义了 1 年, 那么再次恭喜你, 跟天荒地老也差不多了

20190424044552

 

如何关闭这个功能呢? 首先我想到的是修改服务器, 但是仍然会看到这个页面, 只能去修改chrome

chrome://net-internals/#hsts

然后看到

20190424044340

 

在最下面的 delete 那里输入你的 域名 , 然后delete