HerokuアプリケーションのSSLを無効にする

Question

私は最近Herokuで実行しているRailsアプリケーションのドメインを変更しました。元のものを新しいものにリダイレクトし、最後の2ヶ月間は両方でSSLを実行していました。元のドメインからSSLを削除しようとしたのは、リダイレクトだけだったからです。

私は私がすべきと思ったすべてをやった：を "myapp.herokuapp.com" を指すように変更DNSエイリアスとCNAME

production.rbにconfig.force_ssl = falseとアプリでSSLをオフにして

• を
• 削除SSLエンドポイントとは、certsの

私はmyapp.herokuapp.comに行けば、すべてが正常であるが、私はmyapp.comに行く場合、またはwww.myapp.comそれは自動的に私を取るしようとします安全なバージョンhttps://myapp.com、私のブラウザから標準のセキュリティエラーの警告が表示されます。

何か不足していますか？キャッシングの問題ですか？ DNSの変更が始まるまでに時間がかかりますか？私はいくつかのマシン/ブラウザで試してみましたが、問題はすべてのブラウザで一貫しています。

最悪のケースでは、私は間違いなくSSLエンドポイントを追加することができますが、それは過度のようです。

Answer 1

config.force_ssl = trueStrict Transport Securitymax-ageのヘッダー（HSTS）を有効にする。これはissueを参照してください。このようなヘッダーは、それをサポートするブラウザーに、HTTPS経由で1年間サーバーに接続するよう強制します。これは、途中の人がHTTPSへのHTTPS接続をダウングレードする攻撃を防ぐためです。

HSTSで配信された本番サイトのHTTPSからの移動はあまり簡単ではありません。 HTTPS経由でサイトを維持し、max-age=0のHSTSヘッダーを返して、1年間の設定をリセットする必要があります。問題は、HTTPSを維持する必要があるかどうかを判断することです。すべてのクライアントが確実に切り替わるようにするには、1年間それを行う必要があります。短期間で行うこともできますが、頻繁に訪問しているクライアントのサイトを壊す危険があります。

Answer 2

Janが言ったことに加えて、私はこのトリックをやったのです。 application_controller.rbで

：production.rb

で

before_filter :expire_hsts 

[...] 
private 
    def expire_hsts 
    response.headers["Strict-Transport-Security"] = 'max-age=0' 
    end 

config.force_ssl = false 

をクリア、Webブラウザのキャッシュと、それはそれです！