HSTS politikası yüzünden web siteme neden erişilemiyor?

HSTS Politikası Yüzünden Web Sitesine Erişilememe Sorunu

HSTS (HTTP Strict Transport Security), tarayıcıların bir web sitesine yalnızca HTTPS üzerinden bağlanmasını zorlayan bir güvenlik mekanizmasıdır. Bu politikayı etkinleştirdiğinizde, tarayıcılar siteyi bir süre boyunca yalnızca HTTPS ile ziyaret edeceğine dair bir kayıt tutar.

Neden Erişilemiyor?

HTTPS'i devre dışı bırakıp HTTP'ye döndüğünüzde, tarayıcılar hala kayıtlı HSTS politikası nedeniyle siteye HTTPS üzerinden bağlanmaya çalışır. Bu durum, tarayıcılarda ssl/TLS protokol hatası (örneğin, ERR_SSL_PROTOCOL_ERROR) ile sonuçlanır. Apache yapılandırmasından HSTS başlığını kaldırmış olsanız bile, bu durum tarayıcıların yerel önbelleğindeki HSTS kaydını silmez.

çözüm Yolları

Kullanıcıların tarayıcılarındaki HSTS önbelleğini sıfırlamak, sorunu çözmenin en etkili yoludur. Ancak bu, doğrudan sizin tarafınızdan otomatik olarak yapılamaz. Kullanıcıların kendilerinin yapması gerekir.

• Tarayıcı Ön Belleğini ve HSTS Verilerini Temizleme: Kullanıcılardan tarayıcılarının önbelleğini, çerezlerini ve özellikle HSTS (veya site verileri) kayıtlarını temizlemelerini isteyin. Bu işlem, tarayıcının siteyle ilgili tüm geçmiş kayıtlarını siler.
• Siteyi HTTPS ile Bir Kez Ziyaret Etme: Kullanıcılardan, mümkünse sitenizi bir kez daha HTTPS üzerinden ziyaret etmelerini isteyin. Bu, yeni ve geçerli bir sertifika varsa HSTS politikasını yeniden ayarlayabilir.
• Daha Uzun Bir Süre Bekleme: HSTS politikası belirli bir max-age süresi boyunca geçerlidir. Bu süre dolduğunda, tarayıcılar otomatik olarak kaydı silecektir. Ancak bu, kullanıcılar için uzun bir bekleme süresi anlamına gelebilir.

Bu durum, HSTS'in güçlü güvenlik yönünün aynı zamanda bir dezavantajı olabileceğinin bir göstergesidir. Test veya geçici durumlarda HSTS politikası ayarlanırken max-age değerinin düşük tutulması önerilir.