解決まで時間がかかったので自分への戒めとして残しておく
[事象]
- httpでアクセスしたいのにhttpsでのアクセスにリダイレクトする
-
ERR_SSL_PROTOCOL_ERRORとブラウザに言われる
これはSSLに対応していないサーバにhttpsでアクセスしたため
[ポイント]
サーバにSSLの設定はしていない
アプリケーションでもリダイレクトの設定はしていない
でもhttpsになる。。。
[原因]
レスポンスヘッダで以下を返却していることで
そのドメインではブラウザがhttpsでアクセスするように求めていると理解する
Strict-Transport-Security:max-age=315360000; includeSubDomains
includeSubDomainsがあることで、サブドメインまで対象となる。
[解決方法]
ブラウザにセットされたHSTSのリストから、該当するドメインを削除する。
注)サブドメインだけを削除することはできなかった
Chrome
1. アドレスバーにchrome://net-internals/#hstsを入力
2. Delete domainに削除したいドメインを入力してDeleteボタン押下
Firefox
1. 履歴リストを表示する
方法は2つ
履歴メニューからすべての履歴を表示を選択
画面でMac(cmd+Shift+H)、Win(Ctrl+Shift+H)を入力
2. 削除したいドメインをみつけたら、右クリックしてこのサイトの履歴を消去
ALL(自身では未検証)
1. 削除したいドメインのWWWサーバにレスポンスヘッダで以下を返すように設定
Strict-Transport-Security:max-age=0; includeSubDomains
2. 1のWWWサーバへブラウザでアクセス
[参考]
http のリクエストが勝手に https にリダイレクトされるときは Strict-Transport-Security を疑おう
Re-Hashed: How to clear HSTS settings in Chrome and Firefox
MDN web docs(HTTP Strict Transport Security)