On 12.03.2017 08:06, Luca Bertoncello wrote:
> Heiko Schlittermann <[email protected]> schrieb:
Moin,
>> Der HSTS Zustand wird in einem Cache gehalten. Der anonyme Modus
>> verspricht m.W., nichts zu cachen.
>
> Es wäre dann interessant zu wissen, wie ich diese Cache leeren kann...
>
Ich zitiere erstmal nur Wikipedia [1]:
Wenn ein Browser einen HSTS-Header erhält, muss er sich für alle
zukünftigen Verbindungen zu dieser Domain bis zum Ablauf der angegebenen
Gültigkeit folgendermaßen verhalten[5]:
<snip>
Wenn die Sicherheit der Verbindung nicht gewährleistet werden kann,
z.B. wenn dem Zertifikat des Servers nicht getraut werden kann, wird
eine Fehlermeldung angezeigt und die Verbindung abgebrochen. Der Nutzer
hat dann keine Möglichkeit mehr die Seite mit dem Browser aufzurufen.
---
Laut dem Anstrich ist es FAD, daß sich Dein Browser so verhält. Wenn Du
es also schaffst, den Cash zu "leeren" hast Du einen Bug
gefunden....oder einen komischen Hack, der per Default nicht gewollt ist.
Soweit ich das verstehe ist Deine Kombination (HSTS & self-signed Certs)
sehr ungesund.
H.
[1] https://de.wikipedia.org/wiki/HTTP_Strict_Transport_Security#Browser
--
http://www.hilmar-preusse.de.vu/ #206401 http://counter.li.org
