Você está enfrentando erros frustrantes de HSTS no Chrome ou no Firefox? Não se desespere! Este guia detalhado foi elaborado especialmente para você.
Vamos explicar o que é isso, por que você está encontrando erros e, o mais importante, como desativar o HSTS no Chrome e no Firefox.
Com nossas etapas concisas e explicações claras, você corrigirá esse erro técnico em pouco tempo. Vamos começar!
Índice
- O que é HSTS?
- O que é o erro HSTS?
- Como desativar o HSTS no navegador Chrome?
- Como desativar o HSTS no navegador Firefox?
O que é HSTS?
HSTS significa HTTP Strict Transport Security, um mecanismo de política de segurança da Web que ajuda a proteger os sites contra ataques man-in-the-middle, como ataques de downgrade de protocolo e sequestro de cookies. O HSTS garante que um navegador da Web se comunique com um site somente por meio de conexões seguras e criptografadas. Essa é uma das medidas de segurança on-line mais eficientes contra o roubo de dados confidenciais.
Como o HSTS funciona?
A implementação do HSTS envolve a configuração do servidor da Web para incluir o cabeçalho HSTS nas respostas HTTP. Esse cabeçalho, conhecido como “Strict-Transport-Security”, especifica o tempo máximo (em segundos) pelo qual o navegador deve aplicar o HTTPS, conhecido como “max-age”.
Opcionalmente, o cabeçalho pode incorporar diretivas como “includeSubDomains”, estendendo a política de HSTS a todos os subdomínios, e “preload”, sinalizando aos navegadores para incluir o domínio em suas listas de pré-carregamento de HSTS. Estar na lista de pré-carregamento garante a aplicação de HSTS mesmo na visita inicial.
Quando um usuário visita um site habilitado para HSTS, o navegador reconhece o cabeçalho HSTS e armazena internamente essas informações. A aplicação é automática durante as visitas subsequentes dentro da duração “max-age” especificada.
Mesmo que um usuário tente acessar o site via “http://” ou clique em um link HTTP, o navegador converte a solicitação para HTTPS antes da transmissão.
Durante toda a duração da política de HSTS, o navegador usa HTTPS de forma consistente para todas as solicitações subsequentes ao domínio habilitado para HSTS, desconsiderando qualquer tentativa de acessar o site por meio de uma conexão não criptografada.
Exemplos de HSTS
Veja a seguir alguns exemplos de cabeçalhos HTTP Strict Transport Security:
Cabeçalho HSTS básico
Strict-Transport-Security: max-age=31536000
Neste exemplo, a diretiva max-age está definida como 31536000 segundos (1 ano), indicando que o navegador deve aplicar a política HSTS por esse período.
HSTS com inclusão de subdomínio
Strict-Transport-Security: max-age=31536000; includeSubDomains
Esse exemplo inclui a diretiva includeSubDomains, indicando que a política HSTS deve ser aplicada a todos os subdomínios do domínio atual.
Pré-carga de HSTS
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Esse exemplo inclui a diretiva de pré-carregamento , sinalizando aos navegadores que o domínio deve ser incluído em suas listas de pré-carregamento de HSTS. Estar na lista de pré-carregamento significa que o HSTS é aplicado até mesmo na primeira visita ao site.
HSTS com idade máxima de subdomínio personalizado
Strict-Transport-Security: max-age=31536000; max-age=2592000; includeSubDomains
Neste exemplo, o domínio principal tem uma idade máxima de 1 ano, enquanto os subdomínios têm uma idade máxima mais curta, de 30 dias.
Os administradores da Web devem configurar os cabeçalhos HSTS de acordo com suas necessidades de segurança e estrutura de domínio. Teste e monitore regularmente para obter a eficácia ideal. Agora, vamos explorar alguns benefícios e limitações do HSTS.
Benefícios do HSTS
Uma configuração adequada do HSTS oferece os seguintes benefícios principais:
- Mitigação de ataques Man-in-the-Middle: O HSTS impede a espionagem e a adulteração de dados, frustrando possíveis ataques cibernéticos.
- Proteção contra sequestro de sessão: o HSTS protege contra vulnerabilidades de sessão, garantindo a transmissão segura de cookies de sessão.
- Prevenção de downgrade de protocolo: Reduz a ameaça de ataques que utilizam protocolos de comunicação inseguros.
- Privacidade aprimorada do usuário: Aumenta a privacidade do usuário por meio da transmissão segura de informações confidenciais, melhorando a confiança no site.
- Prevenção de ataques de remoção de SSL: Garante que as interações dos usuários com o site permaneçam criptografadas e seguras, minimizando o risco de ataques bem-sucedidos de remoção de SSL.
Limitações do HSTS
Como em qualquer tecnologia, as configurações de HSTS têm algumas limitações. Aqui estão alguns deles:
- Depende do suporte do navegador: A implementação e a eficácia do HSTS dependem do suporte do navegador, e os usuários que utilizam navegadores IE sem suporte ou desatualizados podem não se beneficiar de seus recursos de segurança.
- Persistência estrita da política: Depois que você implementa o HSTS, a política é persistente por um período especificado, o que dificulta a revogação ou modificação rápida, se necessário.
- Possibilidade de certificados expirados: Se o certificado SSL/TLS de um site expirar, os usuários poderão ter dificuldades para acessar o site até que o certificado seja renovado, mesmo que o HSTS esteja em vigor.
Em seguida, vamos voltar nossa atenção para o erro HSTS. No entanto, antes de nos aprofundarmos em como desativar o HSTS no Chrome e no Firefox, vamos primeiro entender o que é o erro HSTS e por que ele ocorre.
O que é o erro HSTS?
O erro HSTS ocorre quando um site que deveria ser carregado em conexões seguras HTTPS é carregado em HTTP (conexões inseguras). Como resultado, os navegadores da Web, como o Chrome ou o Firefox, exibirão um erro de HSTS, impedindo o usuário de acessar o site. A política HSTS do site, que instrui os navegadores a se conectarem somente por meio de conexões seguras, aciona esse erro.
Quais são as causas do erro HSTS?
Quando um usuário encontra um erro de HSTS, o navegador normalmente exibe uma mensagem de aviso ou de erro, impedindo o usuário de acessar o site. A solução de problemas de erros de HSTS envolve a abordagem dos problemas específicos que os causam, como a atualização de certificados SSL, a correção de problemas de conteúdo misto ou a garantia do horário correto do servidor.
Os erros comuns do HSTS incluem:
- Problemas de certificado: Se houver um problema com o certificado SSL/TLS do site, como um certificado expirado ou inválido, isso pode acionar um erro de HSTS.
- Política de HSTS inválida: Se o site enviar uma política HSTS inválida ou formatada incorretamente, os navegadores poderão rejeitar a conexão.
- Conteúdo misto: Se o site tiver uma mistura de conteúdo seguro (HTTPS) e não seguro (HTTP), ele poderá disparar erros de HSTS.
- Diferença de relógio: O HSTS depende da hora correta do sistema tanto no cliente (computador do usuário) quanto no servidor. Se houver uma disparidade de tempo significativa, isso pode causar erros de HSTS.
Como desativar o HSTS no navegador Chrome?
A desativação do HSTS no Chrome envolve um conjunto específico de etapas. O HTTP Strict Transport Security protege dados confidenciais ao forçar conexões https seguras. Mas, às vezes, pode ser necessário desativar o HSTS devido ao erro “You cannot visit domain.com right now because the website uses HSTS.” ou a outros problemas de https.
Para desativar o HSTS, você precisa limpar as configurações do HSTS no Chrome.
- Digite chrome://net-internals/#hsts na barra de endereços para acessar as configurações de HSTS do Chrome.
- Procure a seção Excluir políticas de segurança do domínio no menu HSTS. Digite o nome do domínio onde está ocorrendo o erro de HSTS no campo Domínio e clique no botão Excluir para remover as configurações de HSTS desse site.
Se o erro persistir, você poderá modificar as configurações locais de HSTS por meio do editor de registro no sistema operacional Windows:
- Clique com o botão direito do mouse em Iniciar e selecione Executar. Digite regedit na caixa Abrir: e selecione OK.
- Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
- No lado direito da janela, procure o valor HstsEnabled. Se ele não estiver lá, crie-o clicando com o botão direito do mouse no espaço vazio, selecionando New > DWORD (32-bit) Value e nomeando-o HstsEnabled.
- Clique duas vezes no valor recém-criado e digite 0 na caixa de dados Valor para desativar o HSTS.
Lembre-se de que a desativação do HSTS pode expor dados confidenciais a possíveis ameaças. Portanto, use esse método somente quando o erro HSTS do Chrome atrapalhar sua navegação e ative-o depois de corrigir os problemas de conexão.
Método alternativo: Usando o Chrome DevTools:
- Abra o Chrome e navegue até o site em que você deseja desativar o HSTS.
- Abra o Chrome DevTools clicando com o botão direito do mouse na página, selecionando Inspecionar e, em seguida, indo para a guia Rede .
- Recarregue a página (você pode usar Ctrl + R ou Command + R).
- Procure a solicitação inicial (a primeira solicitação feita quando você recarrega a página). Deve ser o documento HTML.
- Na seção Cabeçalhos da solicitação, procure o cabeçalho Strict-Transport-Security.
- Você pode modificar o valor de max-age para 0 ou remover o cabeçalho inteiro. Isso instruirá o Chrome a não aplicar o HSTS para o domínio especificado.
Como desativar o HSTS no navegador Firefox?
Você pode desativar as configurações de HSTS no Firefox para um site específico seguindo estas etapas:
- Digite about:config na barra de endereços e pressione Enter.
- Aceite o risco e continue.
- Na barra de pesquisa, digite stricttransportsecurity.
- Você deverá ver uma entrada chamada network.stricttransportsecurity.preloadlist. Clique duas vezes nele para alternar o valor para falso. Isso desativa o HSTS.
Lembre-se de que a limpeza do HSTS excluirá as configurações do HSTS de todos os sites, não apenas daquele com o qual você está tendo problemas. Agora que você executou essas etapas, será necessário reiniciar o Mozilla Firefox para que as alterações tenham efeito.
Se você não vir as alterações após reiniciar o Firefox, talvez seja necessário limpar os dados armazenados em cache. Para fazer isso, acesse o menu Editar, selecione Preferências, clique em Privacidade e segurança e, em seguida, clique no botão Limpar dados. Certifique-se de marcar Conteúdo da Web em cache e pressione o botão Excluir . Depois de limpar o cache do HSTS, reinicie o Firefox novamente.
PERGUNTAS FREQUENTES
O HSTS ainda é usado?
Sim, o HSTS ainda é usado como um mecanismo de segurança de site para impor o uso de conexões seguras em HTTPS pelos navegadores da Web e proteger todos os dados em trânsito.
Todos os navegadores são compatíveis com o HSTS?
Sim, a maioria dos navegadores da Web modernos, incluindo Chrome, Firefox, Safari, Edge e outros, é compatível com HSTS. No entanto, é sempre recomendável verificar a documentação específica de cada navegador para obter as informações mais atualizadas.
O HSTS está ativado por padrão?
O HSTS não é ativado por padrão em todos os sites. Os administradores de sites devem configurar seus servidores para incluir o cabeçalho HSTS na resposta, especificando a duração pela qual o HSTS deve ser aplicado. Quando um navegador encontrar o cabeçalho HSTS, ele se lembrará de aplicar conexões seguras durante o período especificado.
É necessário habilitar o HSTS?
Recomendamos a implementação do HSTS para aumentar a segurança, garantindo que todas as comunicações com o servidor ocorram por meio de uma conexão HTTPS segura. No entanto, não é obrigatório, e a decisão de ativar o HSTS depende dos requisitos e das considerações específicas de segurança.
Quais são os riscos de não ter HSTS?
Sem o HSTS, há o risco de ataques man-in-the-middle, em que um invasor pode interceptar e manipular conexões não seguras. O HSTS ajuda a reduzir esse risco, aplicando o HTTPS e protegendo os usuários de determinados tipos de ameaças à segurança.
Devo limpar as configurações do HSTS?
A limpeza das configurações do HSTS geralmente não é necessária para usuários comuns. No entanto, se você encontrar problemas persistentes ao acessar um site devido a um erro de privacidade ou a informações incorretas de HSTS, limpe as configurações de HSTS e veja se isso ajuda.
O HSTS é seguro?
Sim, o HSTS é seguro e aprimora a segurança da Web, garantindo que a comunicação com um site ocorra por meio de HTTPS seguro. Entretanto, como qualquer medida de segurança, você deve configurá-la corretamente para evitar possíveis problemas e outros erros de HTTPS.
Há alguma desvantagem no uso do HSTS?
Se o site não for compatível com HTTPS, o HSTS poderá bloquear o acesso dos usuários a um site se houver problemas com o certificado SSL/TLS. Todo site deve ativar o HTTPS e aderir às práticas padrão de SEO e segurança.
Conclusão
Desativar as configurações de HSTS no Chrome e no Firefox é fácil quando você conhece as etapas. Não deixe que os erros de HSTS afetem sua navegação. Com alguns ajustes aqui e ali, você terá o poder de controlar as configurações do HSTS e solucionar possíveis problemas.
Agora que você sabe como desativar o HSTS no Chrome e no Firefox, deve identificar e resolver os erros do navegador com mais eficiência. No entanto, lembre-se de que a desativação dos recursos de segurança deve ser feita apenas como último recurso.
Economize 10% em certificados SSL ao fazer seu pedido hoje!
Emissão rápida, criptografia forte, 99,99% de confiança no navegador, suporte dedicado e garantia de reembolso de 25 dias. Código do cupom: SAVE10