road closed sign
Bild von Paul Brennan auf Pixabay

Kein Zugriff auf http-Version mit Firefox durch HSTS

HSTS ( HTTP Strict Transport Security ) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll.

Mit HSTS geschützte Websites werden von einigen Browsern nicht mehr als http-Version aufgerufen (mit Firefox kann man hier auch keine Ausnahme zulassen), selbst wenn sie auf http umgestellt würden.

SSL wieder auflassen wird man in der Praxis natürlich nicht machen. Doch würde kurzzeitig ein Zertifikat ausfallen, weil die Verlängerung nicht funktionierte, gelangt man womöglich in eine Situation in der ein Zugriff über Port 80 (http) vorübergehend wieder funktionieren sollte.

Ein anderes Fallbeispiel ist der Umzug auf einen anderen Server, vor dem man eine Website vielleicht gleich schon unter der “richtigen” Adresse (via hosts-Eintrag) installieren möchte, doch so lange der Transfer nicht erfolgte ohne SSL auskommen muss.

Hierfür muss man in Firefox eine Textdatei modifizieren, die unter C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\{profilname}\SiteSecurityServiceState.txt zu finden ist. Oder, einfacher: Firefox mit einem leeren Fenster öffnen, und about:support in die Adresszeile tippen.

profilordner

Dann von hier aus über den Button “Ordner öffnen” neben “Profilordner” klicken, und dort die Textdatei SiteSecurityServiceState.txt mit einem Editor öffnen. Firefox nun schließen, in der Textdatei die betroffene Domain suchen, und die ganze Zeile ( sieht z.B. so aus: core.trac.wordpress.org:HSTS 4 18340 1616162913755,1,0,2 ) löschen. Textdatei speichern, fertig.

Hiernach sollte es vorübergehend möglich sein, die URL auch ohne https zu verwenden, bis das Problem gefixed oder der Transfer vollzogen ist.

Kommentar schreiben

E-Mail-Adresse wird nicht veröffentlicht.

Overlay background for modal content