bg-blog-articles

Come disattivare l’HSTS in Chrome e Firefox?

Disabilita HSTS

Stai riscontrando dei frustranti errori HSTS su Chrome o Firefox? Non disperare! Questa guida dettagliata è stata pensata appositamente per te.

Ti spiegheremo cos’è, perché si verificano gli errori e, soprattutto, come disabilitare l’HSTS in Chrome e Firefox.

Con i nostri passi concisi e le nostre chiare spiegazioni, riuscirai a risolvere questo errore tecnico in pochissimo tempo. Iniziamo!


Indice dei contenuti

  1. Cos’è l’HSTS?
  2. Cos’è l’errore HSTS?
  3. Come disattivare l’HSTS nel browser Chrome?
  4. Come disattivare l’HSTS nel browser Firefox?

Ottieni i certificati SSL oggi stesso

Cos’è l’HSTS?

HSTS è l’acronimo di HTTP Strict Transport Securityun meccanismo di sicurezza web che aiuta a proteggere i siti web dagli attacchi man-in-the-middle, come gli attacchi di downgrade del protocollo e il dirottamento dei cookie. L’HSTS garantisce che un browser web comunichi con un sito web solo attraverso connessioni sicure e crittografate. È una delle misure di sicurezza online più efficaci contro il furto di dati sensibili.

Come funziona l’HSTS?

L’implementazione dell’HSTS comporta la configurazione del server web per includere l’intestazione HSTS nelle risposte HTTP. Questa intestazione, nota come “Strict-Transport-Security”, specifica il tempo massimo (in secondi) per il quale il browser deve applicare l’HTTPS, indicato come “max-age”.

Opzionalmente, l’intestazione può incorporare direttive come “includeSubDomains”, che estende la politica HSTS a tutti i sottodomini, e “preload”, che segnala ai browser di includere il dominio nei loro elenchi di precaricamento HSTS. L’inclusione nell’elenco di precaricamento garantisce l’applicazione dell’HSTS anche durante la prima visita.

Quando un utente visita un sito abilitato all’HSTS, il browser riconosce l’intestazione HSTS e memorizza internamente questa informazione. L’applicazione è automatica durante le visite successive entro la durata “max-age” specificata.

Anche se un utente tenta di accedere al sito tramite “http://” o clicca su un link HTTP, il browser converte la richiesta in HTTPS prima della trasmissione.

Per tutta la durata del criterio HSTS, il browser utilizza costantemente HTTPS per tutte le richieste successive al dominio abilitato HSTS, ignorando qualsiasi tentativo di accesso al sito tramite una connessione non criptata.

Esempi di HSTS

Ecco alcuni esempi di intestazioni HTTP Strict Transport Security:

Intestazione HSTS di base

Strict-Transport-Security: max-age=31536000

In questo esempio, la direttiva max-age è impostata su 31536000 secondi (1 anno), indicando che il browser deve applicare il criterio HSTS per quella durata.

HSTS con inclusione di sottodomini

Strict-Transport-Security: max-age=31536000; includeSubDomains

Questo esempio include la direttiva includeSubDomains, che indica che il criterio HSTS deve essere applicato a tutti i sottodomini del dominio corrente.

Precarico HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Questo esempio include la direttiva preload , che segnala ai browser che il dominio deve essere incluso nei loro elenchi di preload HSTS. L’inclusione nell’elenco di precaricamento significa che l’HSTS viene applicato anche alla prima visita del sito web.

HSTS con età massima del sottodominio personalizzata

Strict-Transport-Security: max-age=31536000; max-age=2592000; includeSubDomains
In questo esempio, il dominio principale ha un’età massima di 1 anno, mentre i sottodomini hanno un’età massima più breve di 30 giorni.

Gli amministratori web devono configurare le intestazioni HSTS in base alle loro esigenze di sicurezza e alla struttura del dominio. Testate e monitorate regolarmente per ottenere un’efficacia ottimale. Ora analizziamo alcuni vantaggi e limiti dell’HSTS.

Vantaggi dell’HSTS

Una corretta configurazione HSTS offre questi vantaggi chiave:

  1. Mitigazione degli attacchi Man-in-the-Middle: L’HSTS impedisce l’intercettazione e la manomissione dei dati contrastando potenziali attacchi informatici.
  2. Protezione contro il dirottamento di sessione: HSTS protegge dalle vulnerabilità di sessione garantendo la trasmissione sicura dei cookie di sessione.
  3. Prevenzione del downgrade del protocollo: Riduce la minaccia di attacchi che sfruttano protocolli di comunicazione non sicuri.
  4. Miglioramento della privacy degli utenti: Aumenta la privacy degli utenti grazie alla trasmissione sicura di informazioni sensibili, migliorando la fiducia nel sito web.
  5. Prevenzione degli attacchi di SSL Stripping: Assicura che le interazioni degli utenti con il sito web rimangano criptate e sicure, riducendo al minimo il rischio di attacchi SSL strip riusciti.

Limitazioni HSTS

Come ogni tecnologia, le impostazioni HSTS presentano alcune limitazioni. Eccone alcune:

  1. Dipende dal supporto del browser: L’implementazione e l’efficacia di HSTS dipendono dal supporto del browser e gli utenti che utilizzano browser IE non supportati o non aggiornati potrebbero non beneficiare delle sue caratteristiche di sicurezza.
  2. Persistenza rigorosa dei criteri: Una volta implementato l’HSTS, il criterio è persistente per una durata specifica, rendendo difficile la revoca o la modifica in caso di necessità.
  3. Potenziale per i certificati scaduti: Se il certificato SSL/TLS di un sito web scade, gli utenti possono avere difficoltà ad accedere al sito fino a quando il certificato non viene rinnovato, anche se l’HSTS è attivo.

Quindi, rivolgiamo la nostra attenzione all’errore HSTS. Ma prima di scoprire come disabilitare l’HSTS in Chrome e Firefox, cerchiamo di capire cos’è l’errore HSTS e perché si verifica.


Cos’è l’errore HSTS?

L’errore HSTS si verifica quando un sito che dovrebbe essere caricato tramite connessioni sicure HTTPS viene caricato tramite HTTP (connessioni non sicure). Di conseguenza, i browser web come Chrome o Firefox visualizzano un errore HSTS, bloccando l’accesso al sito. La politica HSTS del sito, che indica ai browser di connettersi solo tramite connessioni sicure, provoca questo errore.

Cosa causa l’errore HSTS?

Quando un utente incontra un errore HSTS, il browser di solito visualizza un messaggio di avviso o di errore, impedendo all’utente di accedere al sito web. La risoluzione degli errori HSTS comporta la risoluzione dei problemi specifici che li causano, come ad esempio l’aggiornamento dei certificati SSL, la risoluzione dei problemi di contenuto misto o la garanzia dell’orario corretto del server.

Gli errori HSTS più comuni includono:

  1. Problemi di certificato: Se c’è un problema con il certificato SSL/TLS del sito web, come ad esempio un certificato scaduto o non valido, può verificarsi un errore HSTS.
  2. Politica HSTS non valida: Se il sito web invia un criterio HSTS non valido o non formattato correttamente, i browser potrebbero rifiutare la connessione.
  3. Contenuto misto: Se il sito web contiene un mix di contenuti sicuri (HTTPS) e non sicuri (HTTP), può generare errori HSTS.
  4. Differenza di orologio: HSTS si basa sull’ora corretta del sistema sia sul client (il computer dell’utente) che sul server. Se c’è una differenza di orario significativa, può causare errori HSTS.
Risparmia il 10% sui certificati SSL

Come disattivare l’HSTS nel browser Chrome?

Disattivare l’HSTS in Chrome comporta una serie di passaggi specifici. HTTP Strict Transport Security protegge i dati sensibili forzando le connessioni sicure https. A volte, però, potrebbe essere necessario disabilitare l’HSTS a causa dell’errore “Non puoi visitare domain.com in questo momento perché il sito web utilizza HSTS” o di altri problemi legati all’https.

Per disabilitare l’HSTS, devi cancellare le impostazioni di HSTS in Chrome.

  1. Digita chrome://net-internals/#hsts nella barra degli indirizzi per accedere alle impostazioni HSTS di Chrome.
  2. Cerca la sezione Elimina criteri di sicurezza del dominio nel menu HSTS. Digita il nome del dominio in cui si verifica l’errore HSTS nel campo Dominio e clicca sul pulsante Elimina per rimuovere le impostazioni HSTS per quel sito.
Disabilita HSTS Chrome

Se l’errore persiste, puoi modificare le impostazioni HSTS locali attraverso l’editor di registro del sistema operativo Windows:

  1. Clicca con il tasto destro del mouse su Start, quindi seleziona Esegui. Digita regedit nella casella Apri: e seleziona OK.
  2. Vai in HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
  3. Nella parte destra della finestra, cerca il valore HstsEnabled. Se non c’è, crealo cliccando con il tasto destro del mouse sullo spazio vuoto, selezionando New > DWORD (32-bit) Value e chiamandolo HstsEnabled.
  4. Fai doppio clic sul valore appena creato e inserisci 0 nella casella Valore per disabilitare HSTS.

Ricorda che disabilitare l’HSTS può esporre i dati sensibili a potenziali minacce. Pertanto, utilizza questo metodo solo quando l’errore HSTS di Chrome disturba la tua navigazione e abilitalo una volta risolti i problemi di connessione.

Metodo alternativo: Utilizzando Chrome DevTools:

  1. Apri Chrome e naviga verso il sito web in cui vuoi disabilitare l’HSTS.
  2. Apri Chrome DevTools facendo clic con il tasto destro del mouse sulla pagina, selezionando Ispezione e andando alla scheda Rete .
  3. Ricarica la pagina (puoi usare Ctrl + R o Command + R).
  4. Cerca la richiesta iniziale (la prima richiesta effettuata quando ricarichi la pagina). Dovrebbe essere il documento HTML.
  5. Nella sezione Headers della richiesta, cerca l’intestazione Strict-Transport-Security.
  6. Puoi modificare il valore di max-age a 0 o rimuovere l’intera intestazione. In questo modo Chrome non applicherà l’HSTS per il dominio specificato.
Disabilita HSTS Strumenti di Chrome

Come disattivare l’HSTS nel browser Firefox?

Puoi disattivare le impostazioni HSTS in Firefox per un sito specifico seguendo questi passaggi:

  1. Digita about:config nella barra degli indirizzi e premi Invio.
  2. Accetta il rischio e continua.
  3. Nella barra di ricerca, digita stricttransportsecurity.
  4. Dovresti vedere una voce chiamata network.stricttransportsecurity.preloadlist. Fai doppio clic su di essa per impostare il valore su false. In questo modo si disattiva l’HSTS.
Diable HSTS Firefox

Ricorda che cancellare l’HSTS cancellerà le impostazioni dell’HSTS per tutti i siti web, non solo per quello con cui hai problemi. Dopo aver eseguito questi passaggi, dovrai riavviare Mozilla Firefox affinché le modifiche abbiano effetto.

Se non vedi le modifiche dopo il riavvio di Firefox, potrebbe essere necessario cancellare i dati della cache. Per farlo, vai nel menu Modifica, seleziona Preferenze, clicca su Privacy e sicurezza e poi sul pulsante Cancella dati. Assicurati di spuntare la voce Contenuti web memorizzati nella cache e premi il pulsante Elimina . Dopo aver cancellato la cache HSTS, riavvia Firefox.


DOMANDE FREQUENTI

L’HSTS viene ancora utilizzato?

Sì, l’HSTS è ancora utilizzato come meccanismo di sicurezza dei siti web per imporre l’uso di connessioni sicure su HTTPS da parte dei browser web e proteggere tutti i dati in transito.

Tutti i browser supportano l’HSTS?

Sì, la maggior parte dei browser moderni, tra cui Chrome, Firefox, Safari, Edge e altri, supportano l’HSTS ) Tuttavia, è sempre consigliabile controllare la documentazione specifica di ogni browser per avere informazioni più aggiornate.

L’HSTS è abilitato per impostazione predefinita?

L’HSTS non è abilitato di default su tutti i siti web. Gli amministratori dei siti web devono configurare i loro server in modo che includano l’intestazione HSTS nella risposta, specificando la durata per cui HSTS deve essere applicato. Una volta che un browser incontra l’intestazione HSTS, si ricorderà di applicare le connessioni sicure per la durata specificata.

Devo abilitare l’HSTS?

Consigliamo di implementare l’HSTS per migliorare la sicurezza, assicurando che tutte le comunicazioni con il server avvengano tramite una connessione sicura HTTPS. Tuttavia, non è obbligatorio e la decisione di abilitare l’HSTS dipende dai requisiti e dalle considerazioni specifiche sulla sicurezza.

Quali sono i rischi della mancanza di HSTS?

Senza HSTS, c’è il rischio di attacchi man-in-the-middle in cui un aggressore potrebbe intercettare e manipolare le connessioni non protette. L’HSTS aiuta a mitigare questo rischio applicando l’HTTPS e proteggendo gli utenti da alcuni tipi di minacce alla sicurezza.

Devo cancellare le impostazioni HSTS?

La cancellazione delle impostazioni HSTS non è generalmente necessaria per gli utenti abituali. Tuttavia, se riscontri problemi persistenti nell’accesso a un sito web a causa di un errore di privacy o di informazioni HSTS errate, cancella le impostazioni HSTS e vedi se ti aiuta.

L’HSTS è sicuro?

Sì, l’HSTS è sicuro e migliora la sicurezza del web garantendo che la comunicazione con un sito web avvenga tramite HTTPS sicuro. Tuttavia, come ogni misura di sicurezza, è necessario configurarlo correttamente per evitare potenziali problemi e altri errori HTTPS.

Ci sono degli svantaggi nell’utilizzo dell’HSTS?

Se il sito non supporta l’HTTPS, l’HSTS può potenzialmente bloccare gli utenti dall’accesso al sito web in caso di problemi con il certificato SSL/TLS. Ogni sito web dovrebbe abilitare l’HTTPS e rispettare le pratiche standard di sicurezza e SEO.


Conclusione

Disattivare le impostazioni HSTS in Chrome e Firefox è facile se conosci i passaggi. Non lasciare che gli errori HSTS compromettano la tua navigazione. Con alcuni accorgimenti, potrai controllare le impostazioni HSTS e risolvere potenziali problemi.

Ora che sai come disattivare l’HSTS in Chrome e Firefox, dovresti identificare e risolvere gli errori del browser in modo più efficiente. Tuttavia, tieni presente che la disattivazione delle funzioni di sicurezza deve essere fatta solo come ultima risorsa.

Risparmia il 10% sui certificati SSL ordinando oggi stesso da SSL Dragon!

Emissione rapida, crittografia avanzata, affidabilità del browser al 99,99%, assistenza dedicata e garanzia di rimborso entro 25 giorni. Codice coupon: SAVE10

Un'immagine dettagliata di un drago in volo
Scritto da

Scrittore di contenuti con esperienza, specializzato in certificati SSL. Trasforma intricati argomenti di cybersicurezza in contenuti chiari e coinvolgenti. Contribuisci a migliorare la sicurezza digitale attraverso narrazioni d'impatto.