Chrome強制ssl在非ssl的heroku web應用程序

Question

我有一個在Heroku上運行的應用程序和一個指向它的dns cname條目。看起來是這樣的：

one.nest.mysite.com --> one-nest-domain.herokuapp.com 

我們也有使用SSL，與*.mysite.com證書另一個站點。

在Chrome中52現在，當我去http://one.nest.mysite.com（不是HTTPS），我得到重定向到https://和Chrome警告「您的連接不是私人的，攻擊者可能會......」等

我我認爲我明白這個警告（*.mysite.com不包括one.nest.mysite.com，但爲什麼https被強制？這是否緩存了一些重定向？我嘗試完全清除我的瀏覽器數據，但它仍然發生。罰款...

最後當我去http://one-nest-domain.herokuapp.com（沒有https），該應用程序加載罰款沒有重定向。

Answer 1

因此，看起來我們的主站點nest.mysite.com的配置在綁定證書時包含了子域。所以在訪問https://nest.mysite.com之後，證書就存儲在客戶端並固定到子域。隨後訪問http://one.nest.mysite.com將使用該證書，這將強制ssl並導致錯誤。

從我們的主服務器配置中排除子域名鎖定似乎有固定的東西。請注意，要傳播修補程序，用戶必須訪問https://nest.mysite.com以刷新SSL設置，然後http://one.nest.mysite.com按預期工作。

希望這對其他人有用。警告：我不是ssl的專家，所以用一粒鹽回答我的答案。