Unset oder Expire HSTS Richtlinie auf Apache Server

Question

Ich setze diese Zeile in einem ssl vhost auf meinem Server. Ich arbeite mit Apache 2.x

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" 

Dies ist ein großer Fehler war, weil jetzt ich es entfernen möchten, und die Benutzer zwingen, wieder manchmal http-Seiten. Es wurde nicht sehr lange aktiviert, aber ich möchte niemanden verlieren. Wenn ich versuche, Benutzer jetzt auf http-Seiten zu zwingen, landen sie in einer Weiterleitungsschleife.

Wie kann ich HSTS mithilfe der Einstellungen auf dem Server aufheben oder verfallen lassen, sodass Benutzer, die die Site besuchen und die HTTPS-Version der Site aufrufen, die Einstellung "Strict-Transport-Security" aus ihrem Browser entfernen Umgeleitet zu http?

Ich weiß schon, dass ich einen dummen Fehler gemacht habe. Ich habe eine Lektion gelernt und muss sie jetzt aufräumen.

Answer 1

es heraus:

Hinweis: Ein Max-Alter Wert von Null (dh "Max-age = 0") signalisiert die UA zu aufhören über den Host als bekannt HSTS-Host, einschließlich Die IncludeSubDomains-Direktive (wenn für diesen HSTS-Host aktiviert). Siehe auch Abschnitt 8.1 ("Strict-Transport-Security-Antwort Header-Feldverarbeitung").

Aus dem Dokument RFC 6797.

Also, ich werde nur die folgende Zeile setzen und lassen Sie es für ein paar Monate, bevor Sie es entfernen.

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"