在Apache服務器上取消設置或過期HSTS策略

Question

我在我的服務器上的ssl虛擬主機中設置此行。我運行的Apache 2.x的

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains" 

這是一個重大的錯誤，因爲現在我想將其刪除，並強制用戶回有時HTTP頁面。它沒有啓用很長時間，但我不想放棄任何人。如果我試圖強制用戶回到http頁面，他們最終會進入重定向循環。

如何使用服務器上的設置取消設置或過期HSTS，以便當用戶訪問該站點並點擊該站點的https版本時，Strict-Transport-Security設置將從其瀏覽器中刪除，並且它們可以重定向到http？

我已經知道我犯了一個愚蠢的錯誤。我吸取了教訓，現在只需要清理它。

Answer 1

想通了：

註釋：零max-age的值（即， 「最大年齡= 0」）信號UA到關於主機作爲已知HSTS主機，包括 停火 includeSubDomains指令（如果爲該HSTS主機聲明）。 另請參見第8.1節（「嚴格傳輸安全響應 標題字段處理」）。

從RFC 6797文件。

因此，我只需設置下面的行，並在刪除它之前保留幾個月。

Header always set Strict-Transport-Security "max-age=0; includeSubDomains"