Situation : site supportant à la fois HTTP et HTTPS. HSTS a été activé. Fonctionne avec Apache 2.2.
Plus tard, le propriétaire du site décide de n'utiliser HTTPS que sur certaines pages (enregistrement, commandes, etc.). Cependant, la redirection .htaccess échoue, car de nombreux navigateurs des visiteurs du site ont déjà reçu les en-têtes HSTS et n'affichent pas HTTP (ce qui entraîne soit des boucles de redirection, soit l'utilisation de HTTPS partout).
Est-il possible de désactiver les redirections HSTS par programme ? La seule recette efficace, qui consiste à nettoyer toutes les données conservées par le navigateur et associées au site, est loin d'être parfaite.
Des tentatives ont été faites pour envoyer des en-têtes tels que
Strict-Transport-Security: max-age=1;et de forcer la redirection vers HTTP après l'intervalle défini (1 seconde), mais il semble que tous les navigateurs ne puissent pas être trompés (des boucles de redirection se produisent toujours).
La seule solution est-elle de demander aux utilisateurs de supprimer manuellement les données mentionnées sur le site ?
