Kein Zugriff auf http-Version mit Firefox durch HSTS

801 0474
fotografiert von Gabriele Lässer

HSTS ( HTTP Strict Transport Security ) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen, der sowohl vor Aushebelung der Verbindungsverschlüsselung durch eine Downgrade-Attacke als auch vor Session Hijacking schützen soll.

Mit HSTS geschützte Websites werden von einigen Browsern nicht mehr als http-Version aufgerufen (mit Firefox kann man hier auch keine Ausnahme zulassen), selbst wenn sie auf http umgestellt würden.

SSL wieder auflassen wird man in der Praxis natürlich nicht machen. Doch würde kurzzeitig ein Zertifikat ausfallen, weil die Verlängerung nicht funktionierte, gelangt man womöglich in eine Situation in der ein Zugriff über Port 80 (http) vorübergehend wieder funktionieren sollte.

Ein anderes Fallbeispiel ist der Umzug auf einen anderen Server, vor dem man eine Website vielleicht gleich schon unter der „richtigen“ Adresse (via hosts-Eintrag) installieren möchte, doch so lange der Transfer nicht erfolgte ohne SSL auskommen muss.

Hierfür muss man in Firefox eine Textdatei modifizieren, die unter C:\Users\{username}\AppData\Roaming\Mozilla\Firefox\Profiles\{profilname}\SiteSecurityServiceState.txt zu finden ist. Oder, einfacher: Firefox mit einem leeren Fenster öffnen, und about:support in die Adresszeile tippen.

profilordner

Dann von hier aus über den Button „Ordner öffnen“ neben „Profilordner“ klicken, und dort die Textdatei SiteSecurityServiceState.txt mit einem Editor öffnen. Firefox nun schließen, in der Textdatei die betroffene Domain suchen, und die ganze Zeile ( sieht z.B. so aus: core.trac.wordpress.org:HSTS 4 18340 1616162913755,1,0,2 ) löschen. Textdatei speichern, fertig.

Hiernach sollte es vorübergehend möglich sein, die URL auch ohne https zu verwenden, bis das Problem gefixed oder der Transfer vollzogen ist.

Bitte Kommentarfunktion nicht für Supportanfragen nutzen. Dem kann hier nicht entsprochen werden. Die Angabe einer E-Mail-Adresse und eines Namens ist nicht erforderlich. Einen (Spitz)-Namen zu nennen wäre aber doch nett.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Sowohl angegebener Name als auch E-Mail-Adresse (beides ist optional, dafür werden alle Kommentare vor Veröffentlichung geprüft) werden dauerhaft gespeichert. Du kannst jeder Zeit die Löschung Deiner Daten oder / und Kommentare einfordern, direkt über dieses Formular (wird nicht veröffentlicht, und im Anschluss gelöscht), und ich werde das umgehend erledigen. – Mit hinterlassenen Kommentaren hinterlegte IP-Adressen werden nach zwei Monaten automatisch gelöscht

publicly queryable