目前,很多站都开始实现HTTPS了,本站也开启了HTTPS,而且还开启强制HTTPS机制,对于网站的HTTP请求全部301跳转到HTTP,从而实现全站 HTTPS,一切为了安全!
HSTS 协议
HSTS的全称是HTTP Strict-Transport-Security,它是一个 Web 安全策略机制(web security policy mechanism),是国际互联网工程组织IETE正在推行一种新的Web安全协议,作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。
HSTS 最为核心的是一个 HTTP 响应头(HTTP Response Header)。正是它可以让浏览器得知,在接下来的一段时间内,当前域名只能通过 HTTPS 进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求。
HSTS 主要目的是为了解决 HTTPS 网站首次请求时使用的是未加密的 HTTP 协议,也就说用户一般访问我们的网站都是直接在浏览器输入域名,然后我们的服务器检测到是 HTTP 请求,就 301 跳转到 HTTPS 页面,这样有一个问题,因为 HTTP 是不安全的,这个重定向就有可能被攻击者吞掉,然后攻击者一方面冒充服务器,使用 HTTP 与浏览器进行通讯,另一方面冒充浏览器,与服务器使用 HTTPS 建立连接,这就是所谓的 SSLstrip 攻击。
所以HSTS 还有另外一层好处:增强网站HTTPS的兼容性。基本上网站HTTPS都是采用 301 强制性跳转,而且还会区分下低版本 IE、不支持 HTTPS 的搜索引擎来忽略 301 跳转,很明显这样做无法照顾到所有情况,采用 HSTS 后,访问HTTP,支持这个协议的浏览器会自动跳转到 HTTPS 页面,返回码为 307:
开启HSTS
开启 HSTS 很简单,只要在我们网站的响应头里面新增 HSTS 即可,下面简单说下
1、Nginx 服务器
只需要在站点 server 模块内插入如下配置并重启:
server {
listen 443 ssl http2;
server_name qq52o.me www.qq52o.me;
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
# 以下略...
2、Apache 服务器
Apache 如下配置并重启:
# 先在Apache加载mod_header库,一般位于httpd.conf文件,自行搜索mod_headers并取消注释
LoadModule headers_module modules/mod_headers.so
#然后在站点VirtualHost里面插入HSTS响应头信息,比如:
Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"
3、通用方法
如果你用的虚拟主机,或者不会折腾 WEB 软件,那么可以采用更简单的通用方法。原理很简单,通过代码来新增响应头即可,这里只分享一下 php 的做法,其他语言自行参考:
将如下代码插入到网站根目录的 index.php 即可:
header("Strict-Transport-Security: max-age=63072000; includeSubdomains; preload");
提交HSTS
将支持 HSTS 的网站全部加入一个 Preload 的清单,支持 HSTS 协议的浏览器请求网站前会查询当前网站是否在清单中,如果是那么直接转换为 HTTPS 请求!从而解决前半程为 HTTP 的问题,如果我们的网站启用了 HSTS,还得将网站提交到这个 Preload 清单才行了。
提交地址:https://hstspreload.org/ (请自备小飞机)
提交直到批准,我们的网站必须强制 301 跳转到 HTTPS,否则无法通过,完成审核后再取消 301 即可。
提交前注意几点:
- 需在全站启用 HTTPS(包括子域名),同时重定向所有 HTTP 流量至 HTTPS
max-age
必须至少31536000秒(1年)includeSubdomains
和preload
- 不能反悔的哦,撤销比较麻烦,不过也有人成功撤销了
如果主域名旗下有其它子域名没有完成HTTPS一定不要做,否则提交后默认主域名下的任何链接都会使用HTTPS协议访问,本站昨天去查看也已经通过了。
这两天我也折腾成https了。免费空间,速度下降不少!
@米粒博客 今天阿里云的活动 99一年279三年 还不错
呵呵,HTTPS对一些注入扫描和攻击有一定的阻挡作用!还有就是流量劫持一类的也是效果很好!
以后应该都是HTTPS时代了,所以应该加入HSTS,我的也加入了
慢慢就普遍了
@品牌全案 是的 全民HTTPS时代
Strict-Transport-Security 响应头大于6个月就好了。为了回退方便hsts列表不用加,上山容易下山难。
@西枫里博客 😕 一直用https就行了