SSLに勝手にリダイレクトされる

2016.3.28 (月)

httpでアクセスしているのに勝手にhttpsにリダイレクトしてしまうという現象。httpヘッダに怪しげなものを発見。
Strict-Transport-Security “max-age=31536000; includeSubDomains”
怪しげでもなんでもないのですが、sslを設定の際に、ssl.conf内で、以下のようにヘッダーに設定していました。(とはいっても、いつものルーチンワークであんまり見てなかったのですが、デフォルトでこのような設定がなされているssl.confもあるというわけです。)

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

.htaccessでこの設定を上書きしてみたところ、AllowOverraide Allであっても上書きはされなくて、ヘッダーが追加されただけでした。根治するには、この設定を無効にするか、maz-ageを0にすることです。
キャッシュが強いので要注意。
またこの設定は読んで字のごとく、サブドメインにも影響します。サブドメインも(違うホストに設定されていたとしても)SSLで接続しようとします。含まれているドメインを見に行っているようです。
http://beniyama.hatenablog.jp/entry/2014/11/08/175925
別ホストとなると、これ、原因わからないとかなり厄介ですが、理由は上記のものでした。
/etc/httpd/conf.d/ssl/confの

Header set Strict-Transport-Security "max-age=0;"

で設定してApache再起動か、

#Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

コメントアウトしてApache再起動。