無題ドキュメント

このページはfukaの趣味とか作業メモとか日記とかをだらだら書いています

Linux Raspberry Pi メモ 日記

サーバーにアクセスせずにSSLサイトにリダイレクトしてしまう時に戻す方法メモ

2016/06/06

owncloudを構築していたら管理画面にStrict-Transport-Securityの設定を追加してねっ♪って言われたので
言われるがままnginxに下記設定をしてしまったわけですが・・・

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains;';
※これから1年間SSLサイトの方を表示してね(テヘッ
っていう設定だったみたいです・・・(´Д⊂ヽ

一旦この設定のあるSSLサイトにアクセスしてから、
同じドメインの非SSLサイトにアクセスしようとしたら勝手にSSLサイトに飛ばされました。
非SSLサイトにアクセスしましたよーのログが残らなかったのでちょびっと涙目になりました。
いや・・・そうしてねって自分で設定書いたのが原因なんですけどね・・・やったことすら忘れてたんですよ・・・

とりあえず泣きながらSSLサイトをちゃんとしたわけですが(斜め上の対応・・・
ふとこれって開発の時に設定を解除する方法探さないとダメじゃん!っと思って調べてみました。

とりあえずchrome(この時のバージョンは49.0.2623.112 m (64-bit))の設定では

URLに
「chrome://net-internals/#hsts」
を記述してアクセス、
hstsの設定画面が出ると思います
「Delete domain」の「Domain:」のテキストボックスに設定を解除したいサイトのドメインを入力
「Delete」ボタンを押下で設定を解除できるみたいです

まぁ普通の人は特に気にしなくてもいいと思いますが
あれ?非SSLサイトではちゃんと表示されてたっけ?とか言うときにタブン使います・・・(私がそうでした・・・
SSL対応にしたらいろいろ出力されないものがあったんだよぉ(´Д⊂ヽ

ということでメモメモ

一応この設定は次に来た時に非SSLサイトにアクセスせずにSSLサイトにアクセスさせることができるみたいで
ユーザーの安全性が増すんだとか・・・SSLだけで運用しているサイトでは使った方がいいのかな?(=~=;

wikipedia HTTP Strict Transport Security(HSTS)

-Linux, Raspberry Pi, メモ, 日記