最近,我为我的站点切换服务器,我设法丢失了解密的 SSL 密钥,我不记得加密的密码。原来是服务器开启了HSTS,现在很多访问者无法加载页面,因为我没有有效的SSL证书,他们的浏览器由于HSTS拒绝通过http连接。
所以,我需要一种从他们的浏览器中禁用 HSTS 的方法。要求他们清除浏览数据是不行的,但我想知道我是否可以制作一个与 firefox/chrome 兼容的 javascript 来清除它。(脚本将位于不同的域中)
我一直在挖掘,但没有找到太多关于我应该如何解决这个问题的信息,如果可能的话。也欢迎所有其他建议。
HSTS 可以进行权衡:您有责任从现在开始并永远提供浏览器可以依赖的安全 SSL 连接,这将导致浏览器拒绝与您的域建立 SSL 连接以外的任何内容。它给您带来了额外的负担,但增加了访问者的安全性。
浏览器将此首选项存储在任何网站都无法清除的内部数据库中。如果任何网站都可以通过 Javascript 简单地撤销此偏好,那么整个系统将毫无意义。
您必须手动清除数据库和/或删除该特定条目。每个浏览器的做法都不同,请参阅http://classically.me/blogs/how-clear-hsts-settings-major-browsers以获取概述。