Никогда не делайте редирект с HTTPS на HTTP, с порта 443 на 80

Новичо́к, через «о́»
Регистрация
15 Окт 2019
Сообщения
3
#1
Никогда, запомните, НИКОГДА нельзя делать перенаправление HTTPS -> HTTP

Принимая решение создавать сайт на HTTPS - это навсегда для домена!

Браузер пользователя, единожды попробовав кровь https-протокол, больше его не отпустит. Он уцепится в него всеми строками кода, а на помощь еще прийдут HTTPS Everywhere (и подобные ему расширения), ОС ему в этом поможет, а прикрывать всю эту компашку еще будет кэш вашего интернет-провайдера, DNS и всё остальное, что стоит на пути он клавиши Enter до HTTP протокола сайта.

Это называется HSTS (HTTP Strict Transport Security) или простым языком, «бл*ть, с*ка, какого х*я эта браузерная пи*дотень перенаправляет на еб*чий https протокол, ведь на сервере уже нет ни сертификата, ни конфига для принятия на 443 порту, сайт попросту не работает».
  • Сменили IP (NET::ERR_CERT_COMMON_NAME_INVALID);
  • Очистили историю/кэш (307 Internal Redirect);
  • Открыли в приватной вкладке (307 Temporary Redirect);
  • Настроили конфигурацию без https (NET::ERR_CERT_AUTHORITY_INVALID);
  • Рвёте волосы от отчаяния.
Браузер:

pox.png

Одна строчка в Header, которая говорит браузеру всегда открывать сайт на HTTPS 1 год:
Strict-Transport-Security: max-age=31536000; includeSubDomains

Как удалить HSTS перенаправление HTTP на HTTPS из браузера Chrome/Opera/Yandex?

В Chrome/Opera/Yandex и подобных Chromium браузерах, заходите на
chrome://net-internals/#hsts

И внизу удаляете нужный сайт:

del.png

Как удалить HSTS перенаправление HTTP на HTTPS из браузера Mozilla Firefox?

В Mozilla Firefox нажимаете сочетание клавиш
Ctrl + Shift + H (или Cmd + Shift + H на Mac)

Находите нужный сайт через поиск и Забываете о нем (именно ЗАБЫТЬ, так как удаление не решит проблему):

zab.png

ЗЫ: HSTS это хороший инструмент для предотвращения MITM атак, потому если сервер сконфигурарован с HSTS, он получит максимальную оценку в SSL тесте A+, но просто запомните, что редирект HTTP на HTTPS - это добро, HTTPS на HTTP - это зло, вы только потеряете посетителей, никто не будет заморачиваться с очисткой ради какого-то сайта в интернете.