Il server che si sta tentando di connettersi con gli usi rigoroso-trasporto-sicurezza (HSTS) per garantire HTTPS solo viene utilizzato con questo sito piuttosto che il http predefinita.
Ciò significa che se inserisci http://www.servername.com allora Chrome lo convertirà automaticamente in https://www.servername.com.
Questa è una funzione di sicurezza per impedire l'uso di http, che non è crittografato e che può essere letto e modificato da un hacker. Questo può essere impostato dal server che comunica a Chrome (tramite una speciale intestazione HTTP inviata in risposta alle richieste) che utilizza HSTS. Questa impostazione viene quindi memorizzata nella cache da Chrome per il periodo di tempo specificato, come definito nel valore max-age in tale intestazione. Inoltre, il proprietario del sito può inviare il proprio sito a un elenco di precaricamento che viene automaticamente incluso in Chrome, che protegge anche la prima visita, poiché normalmente è necessario visitare il sito per ricevere l'intestazione per attivarla.
Il modo in cui Chrome mostra questo nella scheda di rete è creando una risposta fittizia 307 con un reindirizzamento alla versione https dell'indirizzo. Ma questa è una risposta falsa e non viene generata dal server - la realtà è che Chrome l'ha fatto internamente prima che la richiesta arrivasse anche al server.
Per cancellare questa impostazione per un sito è possibile digitare quanto segue nel campo URL di Chrome: chrome://net-internals/#hsts
e quindi cercare il sito ed eliminarlo. Puoi anche impostarlo in un dominio di primo livello e includere sottodomini, quindi potresti dover eliminare da lì. In alternativa puoi semplicemente modificare la configurazione del server per pubblicare l'intestazione con un limite massimo di 0 e visitare di nuovo il sito per cancellarlo, quindi interrompere la pubblicazione dell'intestazione, che può essere utile per altri browser in cui non è altrettanto facile eliminarlo.
Nota non è possibile cancellare questa impostazione se un sito è presente nell'elenco di precaricamento poiché questo è incorporato nel codice del browser web. Il proprietario del sito può inviare una richiesta per essere rimossa dall'elenco precaricato, ma questo richiede diversi mesi per passare attraverso il ciclo di rilascio per Chrome e nessuna linea temporale definita per altri browser. Chrome non consente in alcun modo di ignorare le impostazioni precaricate, per motivi di sicurezza.
fonte
2015-12-10 23:17:07
C'è un modo per cancellare la cache di Chrome di quali siti attivano questo? Sto eseguendo il debug della mia configurazione del proxy inverso Apache. – gogowitsch
Aggiunti dettagli alla mia risposta. –
Ecco l'elenco di precaricamento: https://hstspreload.org/ –