HTTP Strict Transport Security (HSTS) für ausgewählte Domains deaktivieren bzw. entfernen – in Chrome

Geschrieben am von Daniel Koch

HSTS macht Sinn und sollte, wenn möglich, aktiviert werden! Während der Webentwicklung kann es jedoch hinderlich sein und zu ungewollten Umleitungen von HTTP auf HTTPS führen. Um dies für ausgewählte Domains zu deaktivieren bzw. rückgängig zu machen sind in Google Chrome folgende Schritte nötig:

  1. Aufruf der „network-internals„ innerhalb von Chrome über die Browserleiste:
    chrome://net-internals
  2. Nach dem Eintrag „HSTS“ suchen und dort die gewünschte URL unter „Delete domain“ einfügen. Dadurch wird die interne HSTS-Matching-Liste aktualisiert.
  3. In einem letzten Schritt muss noch der Browser-Cache gelöscht werden.
    1. Über die globale „Cache Löschen“-Funktion erreichbar direkt unter STRG/CMD + Umschalt + Rückschritt (Achtung: Hier bei den zu löschenden Daten aufpassen, sodass auch nur die nötigsten Daten gelöscht werden!)
    2. Nur für eine ausgewählte Domain über die Developer Tools (F12 bzw. CMD + ALT + I), dann „Application“ > Application: „Clear storage“ (dies ist jedoch in der erwähnten „ungewollten“ Umleitung nicht zu verwenden, weil man sich nicht auf der korrekten Domain befindet!)