Cum să dezactivați HSTS în Chrome și Firefox?

Ultima actualizare pe de Dionisie Gitlan
Disable HSTS

Vă confruntați cu erori HSTS frustrante pe Chrome sau Firefox? Nu disperați! Acest ghid detaliat este conceput special pentru dumneavoastră.

Vă vom explica despre ce este vorba, de ce întâmpinați erori și, cel mai important, cum să dezactivați HSTS în Chrome și Firefox.

Cu pașii noștri concisi și explicațiile noastre clare, veți remedia această eroare tehnică în cel mai scurt timp. Să începem!

Cuprins

  1. Ce este HSTS?
  2. Ce este eroarea HSTS?
  3. Cum să dezactivați HSTS în browserul Chrome?
  4. Cum să dezactivați HSTS în browserul Firefox?

Ce este HSTS?

HSTS este acronimul de la HTTP Strict Transport Security (HTTP Strict Transport Security), un mecanism de politică de securitate web care ajută la protejarea site-urilor web împotriva atacurilor de tip ” man-in-the-middle “, cum ar fi atacurile de retrogradare a protocolului și deturnarea cookie-urilor. HSTS garantează că un browser web comunică cu un site web numai prin conexiuni sigure și criptate. Este una dintre cele mai eficiente măsuri de securitate online împotriva furtului de date sensibile.

Cum funcționează HSTS?

Implementarea HSTS presupune configurarea serverului web pentru a include antetul HSTS în răspunsurile HTTP. Acest antet, cunoscut sub numele de “Strict-Transport-Security”, specifică durata maximă (în secunde) pentru care browserul trebuie să aplice HTTPS, denumită “max-age”.

Opțional, antetul poate încorpora directive precum “includeSubDomains”, care extinde politica HSTS la toate subdomeniile, și “preload”, care semnalează browserelor să includă domeniul în listele lor de preîncărcare HSTS. Faptul că se află pe lista de preîncărcare asigură aplicarea HSTS chiar și la prima vizită.

În momentul în care un utilizator vizitează un site compatibil HSTS, browserul recunoaște antetul HSTS și stochează intern aceste informații. Punerea în aplicare este automată în timpul vizitelor ulterioare în cadrul duratei “max-age” specificate.

Chiar dacă un utilizator încearcă să acceseze site-ul prin “http://” sau face clic pe un link HTTP, browserul convertește fără probleme cererea în HTTPS înainte de a fi transmisă.

Pe toată durata politicii HSTS, browserul utilizează în mod constant HTTPS pentru toate cererile ulterioare către domeniul activat de HSTS, ignorând orice încercare de a accesa site-ul printr-o conexiune necriptată.

Exemple de HSTS

Iată câteva exemple de anteturi HTTP Strict Transport Security:

Antetul HSTS de bază

Strict-Transport-Security: max-age=31536000

În acest exemplu, directiva max-age este setată la 31536000 secunde (1 an), ceea ce indică faptul că browserul trebuie să aplice politica HSTS pentru această durată.

HSTS cu includerea subdomeniului

Strict-Transport-Security: max-age=31536000; includeSubDomains

Acest exemplu include directiva includeSubDomains, care indică faptul că politica HSTS trebuie să se aplice tuturor subdomeniilor din domeniul curent.

Preîncărcare HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Acest exemplu include directiva preload , care semnalează browserelor că domeniul ar trebui inclus în listele lor de preîncărcare HSTS. Fiind pe lista de preîncărcare înseamnă că HSTS este aplicat chiar și la prima vizită pe site.

HSTS cu subdomeniu personalizat Max-Age

Strict-Transport-Security: max-age=31536000; max-age=2592000; includeSubDomains
În acest exemplu, domeniul principal are o vechime maximă de 1 an, în timp ce subdomeniile au o vechime maximă mai mică, de 30 de zile.

Administratorii web ar trebui să configureze antetele HSTS pentru a se adapta nevoilor de securitate și structurii domeniului. Testați și monitorizați în mod regulat pentru o eficacitate optimă. Acum, să analizăm câteva beneficii și limitări ale HSTS.

Beneficiile HSTS

O configurație corectă a HSTS oferă următoarele beneficii cheie:

  1. Atenuarea atacurilor Man-in-the-Middle: HSTS previne spionajul și manipularea datelor prin contracararea potențialelor atacuri cibernetice.
  2. Protecție împotriva deturnării sesiunii: HSTS protejează împotriva vulnerabilităților sesiunii prin asigurarea transmiterii securizate a cookie-urilor de sesiune.
  3. Prevenirea retrogradării protocolului: Reduce amenințarea atacurilor care utilizează protocoale de comunicare nesigure.
  4. Confidențialitatea sporită a utilizatorilor: Stimulează confidențialitatea utilizatorilor prin transmiterea în siguranță a informațiilor sensibile, îmbunătățind încrederea în site-ul web.
  5. Prevenirea atacurilor SSL Stripping: Asigură că interacțiunile utilizatorilor cu site-ul web rămân criptate și securizate, reducând la minimum riscul atacurilor de tip SSL Stripe.

Limitările HSTS

Ca orice tehnologie, setările HSTS au unele limitări. Iată câteva dintre ele:

  1. Depinde de suportul browserului: Implementarea și eficiența HSTS depind de suportul browserului, iar utilizatorii care folosesc browsere IE neactualizate sau neactualizate pot să nu beneficieze de caracteristicile de securitate ale acestuia.
  2. Persistența strictă a politicilor: Odată ce ați implementat HSTS, politica este persistentă pentru o durată specificată, ceea ce face dificilă revocarea sau modificarea rapidă în caz de nevoie.
  3. Potențial pentru certificatele expirate: În cazul în care certificatul SSL/TLS al unui site web expiră, utilizatorii pot întâmpina dificultăți în accesarea site-ului până la reînnoirea certificatului, chiar dacă HSTS este implementat.

În continuare, să ne îndreptăm atenția către eroarea HSTS. Dar, înainte de a vedea cum să dezactivați HSTS în Chrome și Firefox, să înțelegem mai întâi ce este eroarea HSTS și de ce apare.

Ce este eroarea HSTS?

Eroarea HSTS apare atunci când un site care ar trebui să se încarce prin conexiuni securizate HTTPS se încarcă prin HTTP (conexiuni nesigure). Ca urmare, browsere web precum Chrome sau Firefox vor afișa o eroare HSTS, blocând accesul utilizatorului la site-ul web. Politica HSTS a site-ului, care instruiește browserele să se conecteze numai prin conexiuni securizate, declanșează această eroare.

Ce cauzează eroarea HSTS?

Atunci când un utilizator întâlnește o eroare HSTS, browserul afișează de obicei un mesaj de avertizare sau de eroare, împiedicând utilizatorul să acceseze site-ul web. Rezolvarea erorilor HSTS implică abordarea problemelor specifice care le cauzează, cum ar fi actualizarea certificatelor SSL, rezolvarea problemelor de conținut mixt sau asigurarea orei corecte a serverului.

Printre erorile frecvente ale HSTS se numără:

  1. Probleme legate de certificate: În cazul în care există o problemă cu certificatul SSL/TLS al site-ului web, cum ar fi un certificat expirat sau invalid, poate declanșa o eroare HSTS.
  2. Politica HSTS invalidă: În cazul în care site-ul web trimite o politică HSTS invalidă sau formatată necorespunzător, browserele pot respinge conexiunea.
  3. Conținut mixt: În cazul în care site-ul web conține un amestec de conținut securizat (HTTPS) și nesecurizat (HTTP), acesta poate declanșa erori HSTS.
  4. Diferența de ceas: HSTS se bazează pe ora corectă a sistemului atât pe client (computerul utilizatorului), cât și pe server. În cazul în care există o diferență de timp semnificativă, aceasta poate cauza erori HSTS.

Cum să dezactivați HSTS în browserul Chrome?

Dezactivarea HSTS în Chrome implică un set specific de pași. HTTP Strict Transport Security protejează datele sensibile prin forțarea conexiunilor https securizate. Dar, uneori, este posibil să fie nevoie să dezactivați HSTS din cauza erorii “Nu puteți vizita domeniul.com în acest moment deoarece site-ul utilizează HSTS.” sau a altor probleme legate de https.

Pentru a dezactiva HSTS, trebuie să ștergeți setările HSTS din Chrome.

  1. Tastați chrome://net-internals/#hsts în bara de adrese pentru a accesa setările Chrome HSTS.
  2. Căutați secțiunea Delete domain security policies (Ștergeți politicile de securitate ale domeniului ) din meniul HSTS. Scrieți numele domeniului unde aveți eroarea HSTS în câmpul Domain (Domeniu ) și faceți clic pe butonul Delete (Șterge ) pentru a elimina setările HSTS pentru site-ul respectiv.
Dezactivați HSTS Chrome

Dacă eroarea persistă, puteți modifica setările HSTS locale prin intermediul editorului de registru în sistemul de operare Windows:

  1. Faceți clic dreapta pe Start, apoi selectați Run. Tastați regedit în caseta Open:, apoi selectați OK.
  2. Navigați la HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
  3. În partea dreaptă a ferestrei, căutați valoarea HstsEnabled. Dacă nu este acolo, creați-o făcând clic dreapta pe spațiul gol, selectând New > DWORD (32 de biți) Value și numind-o HstsEnabled.
  4. Faceți dublu clic pe valoarea nou creată și introduceți 0 în caseta de date Value pentru a dezactiva HSTS.

Nu uitați că dezactivarea HSTS poate expune datele sensibile la potențiale amenințări. Prin urmare, utilizați această metodă numai atunci când eroarea HSTS Chrome vă perturbă navigarea și activați-o după ce ați rezolvat problemele de conexiune.

Metoda alternativă: Utilizarea Chrome DevTools:

  1. Deschideți Chrome și navigați pe site-ul web unde doriți să dezactivați HSTS.
  2. Deschideți Chrome DevTools făcând clic dreapta pe pagină, selectând Inspect și apoi accesând fila Network (Rețea ).
  3. Reîncărcați pagina (puteți utiliza Ctrl + R sau Command + R).
  4. Căutați solicitarea inițială (prima solicitare efectuată atunci când reîncărcați pagina). Acesta ar trebui să fie documentul HTML.
  5. În secțiunea Headers a cererii, căutați antetul Strict-Transport-Security.
  6. Puteți modifica valoarea max-age la 0 sau puteți elimina întregul antet. Acest lucru îi va indica lui Chrome să nu aplice HSTS pentru domeniul specificat.
Dezactivați HSTS Chrome Dev Tools

Cum să dezactivați HSTS în browserul Firefox?

Puteți dezactiva setările HSTS în Firefox pentru un anumit site, urmând acești pași:

  1. Introduceți about:config în bara de adrese și apăsați Enter.
  2. Acceptați riscul și continuați.
  3. În bara de căutare, tastați stricttransportsecurity.
  4. Ar trebui să vedeți o intrare numită network.stricttransportsecurity.preloadlist. Dați dublu clic pe ea pentru a schimba valoarea la false. Acest lucru dezactivează HSTS.
Diable HSTS Firefox

Nu uitați că ștergerea HSTS va șterge setările HSTS pentru toate site-urile web, nu doar pentru cel cu care aveți probleme. După ce ați urmat acești pași, va trebui să reporniți Mozilla Firefox pentru ca modificările să intre în vigoare.

Dacă nu vedeți modificările după repornirea Firefox, este posibil să fie nevoie să ștergeți datele din memoria cache. Pentru a face acest lucru, accesați Meniul Editare, selectați Preferințe, faceți clic pe Confidențialitate și securitate, apoi faceți clic pe butonul Ștergere date. Asigurați-vă că bifați Cached Web Content și apăsați butonul Delete . După ce ați șters memoria cache HSTS, reporniți din nou Firefox.

ÎNTREBĂRI FRECVENTE

Se mai folosește HSTS?

Da, HSTS este încă utilizat ca mecanism de securitate a site-urilor web pentru a impune utilizarea conexiunilor securizate prin HTTPS de către browserele web și pentru a proteja toate datele în tranzit.

Toate browserele acceptă HSTS?

Da, majoritatea browserelor web moderne, inclusiv Chrome, Firefox, Safari, Edge și altele, acceptă HSTS ) Cu toate acestea, este întotdeauna recomandabil să verificați documentația specifică a fiecărui browser pentru cele mai recente informații.

Este HSTS activat în mod implicit?

HSTS nu este activat în mod implicit pe toate site-urile web. Administratorii de site-uri web trebuie să își configureze serverele pentru a include antetul HSTS în răspuns, specificând durata pentru care HSTS trebuie aplicat. Odată ce un browser întâlnește antetul HSTS, acesta își va aminti să impună conexiuni securizate pentru durata specificată.

Trebuie să activez HSTS?

Vă recomandăm să implementați HSTS pentru a spori securitatea, asigurându-vă că toate comunicațiile cu serverul au loc printr-o conexiune HTTPS securizată. Cu toate acestea, nu este obligatoriu, iar decizia de a activa HSTS depinde de cerințele și considerentele specifice de securitate.

Care sunt riscurile de a nu avea HSTS?

Fără HSTS, există riscul unor atacuri de tip “man-in-the-middle”, prin care un atacator ar putea intercepta și manipula conexiunile nesecurizate. HSTS ajută la atenuarea acestui risc prin impunerea HTTPS și protejarea utilizatorilor de anumite tipuri de amenințări la adresa securității.

Ar trebui să șterg setările HSTS?

În general, ștergerea setărilor HSTS nu este necesară pentru utilizatorii obișnuiți. Cu toate acestea, dacă întâmpinați probleme persistente la accesarea unui site web din cauza unei erori de confidențialitate sau a unor informații HSTS incorecte, ștergeți setările HSTS și vedeți dacă acest lucru vă ajută.

Este HSTS sigur?

Da, HSTS este sigur și îmbunătățește securitatea web prin asigurarea faptului că comunicarea cu un site web are loc prin HTTPS securizat. Cu toate acestea, ca orice măsură de securitate, trebuie să o configurați corect pentru a evita eventualele probleme și alte erori HTTPS.

Există dezavantaje în utilizarea HSTS?

În cazul în care site-ul nu acceptă HTTPS, HSTS poate bloca accesul utilizatorilor la un site web dacă există probleme cu certificatul SSL/TLS. Fiecare site web ar trebui să activeze HTTPS și să adere la practicile standard SEO și de securitate.

Concluzie

Dezactivarea setărilor HSTS în Chrome și Firefox este ușoară, odată ce cunoașteți pașii. Nu lăsați ca erorile HSTS să vă afecteze navigarea. Cu câteva ajustări aici și acolo, veți avea puterea de a controla setările HSTS și de a depista eventualele probleme.

Acum că știți cum să dezactivați HSTS în Chrome și Firefox, ar trebui să identificați și să rezolvați mai eficient erorile din browser. Cu toate acestea, nu uitați că dezactivarea funcțiilor de securitate ar trebui să se facă doar în ultimă instanță.

Economisește 10% la certificatele SSL în momentul plasării comenzii!

Eliberare rapidă, criptare puternică, încredere în browser de 99,99%, suport dedicat și garanție de returnare a banilor în 25 de zile. Codul cuponului: SAVE10

Economisește 10% acum!
Scris de

Autor cu experiență, specializat în certificate SSL. Transformă subiectele complexe despre securitatea cibernetică în conținut clar și captivant. Contribuie la îmbunătățirea securității digite prin narațiuni cu impact.

Postări similare
61% dintre politicienii din lume nu folosesc HTTPS
HTTPS vs VPN
HTTPS vs VPN – Aveți nevoie de VPN dacă utilizați HTTPS?
Firefox 83 aduce modul HTTPS-Only pentru utilizatori