On 12.03.2017 08:06, Luca Bertoncello wrote:
Heiko Schlittermann hs@schlittermann.de schrieb:
Moin,
Der HSTS Zustand wird in einem Cache gehalten. Der anonyme Modus verspricht m.W., nichts zu cachen.
Es wäre dann interessant zu wissen, wie ich diese Cache leeren kann...
Ich zitiere erstmal nur Wikipedia [1]:
Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen Gültigkeit folgendermaßen verhalten[5]:
<snip> Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann, z.B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer hat dann keine Möglichkeit mehr die Seite mit dem Browser aufzurufen. ---
Laut dem Anstrich ist es FAD, daß sich Dein Browser so verhält. Wenn Du es also schaffst, den Cash zu "leeren" hast Du einen Bug gefunden....oder einen komischen Hack, der per Default nicht gewollt ist. Soweit ich das verstehe ist Deine Kombination (HSTS & self-signed Certs) sehr ungesund.
H.
[1] https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Browser