PR

http→httpsサイトへ強制転送されてしまう場合の解除方法(HSTSの場合)

スポンサーリンク

CoreServer等の一部サーバーでSSL化を行なうと、HSTS(HTTP Strict Transport Security)という技術を用いて、httpサイトを強制的にhttpsサイトに転送する。

でも、これって、たんにhttpの部分をhttpsにするだけだから、個別に転送先を決めたい時やhttpのページを残しておきたい時には厄介すぎる
場合によっては、サブドメインまでhttpsに勝手に転送してしまう事もあるらしいので、ほんといい迷惑だ。

しかも、SSL化を解除してhttpのサイトに戻そうとしても、ブラウザが一度HSTSの設定を覚えてしまうと、普通に1年とかそのまんま転送を続けちゃうんで、HSTSにした期間にそのページを訪れたユーザーは今後ずっと強制的にhttpsページに転送されてしまう

スポンサーリンク

 

で、それをなんとかするには、.htaccessに以下を記述でOK!

Header always unset Strict-Transport-Security
add_header Strict-Transport-Security "max-age=0"

 

ただし、自分がアクセスできるよりも上の権限で

add_header Strict-Transport-Security "max-age=31536000"

とか記述されちゃってたりすると、もうどうしようもない。

ブラウザは、普通にHSTSを実行し続ける。

 

その時はサーバー管理者になんとかしてもらいましょう。

コメント