闲着写点简单的分享

启用HSTS和申请HSTS Preload List

HSTS是“HTTP Strict Transport Security”(HTTP严格安全传输)的缩写,开启了这项设置以后,主流浏览器会强制性地使用HTTPS来请求资源,能够更加有效地保护你网站和用户的数据安全。一般情况(未启用HSTS),浏览器会允许用户在了解了安全风险之后继续使用不安全的连接来访问,但如果启用了HSTS,则不允许这样做,所以你得有一定要长期使用HTTPS的打算,才能启动HSTS。

首先本站linpx.com加入了 Chrome 的 HSTS Preload List 了,在 chromium 的 transport_security_state_static.json 中可以查看

启用HSTS

HSTS 是一个响应头,格式如下:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload;
  • max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过 HTTPS 协议来访问。也就是对于这个网站的 HTTP 地址,浏览器需要先在本地替换为 HTTPS 之后再发送请求

  • includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过 HTTPS 协议来访问

  • preload,可选参数,预加载到浏览器缓存

HSTS 这个响应头只能用于 HTTPS 响应;网站必须使用默认的 443 端口;必须使用域名,不能是 IP。而且启用 HSTS 之后,一旦网站证书错误,用户无法选择忽略。


这里贴一个 Nginx 开启 HSTS 的简易教程

打开网站所对应的Nginx的conf配置文件

假设我的配置文件是在 /usr/local/nginx/conf/vhost 的目录

vim /usr/local/nginx/conf/vhost/www.linpx.com.conf

加入

server {
···
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

···

申请 HSTS Preload List

HSTS 必须要在浏览器访问过你的网站一次以后才会生效,如果希望提前生效,需要申请 HSTS Preloading List。

目前这个 Preload List 由 Google Chrome 维护,Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 都在使用。如果要想把自己的域名加进这个列表,首先需要满足以下条件:

  • 拥有合法的证书(如果使用 SHA-1 证书,过期时间必须早于 2016 年);
  • 将所有 HTTP 流量重定向到 HTTPS;
  • 确保所有子域名都启用了 HTTPS;
  • 输出 HSTS 响应头:
    • max-age 不能低于 18 周(10886400 秒);
    • 必须指定 includeSubdomains 参数;
    • 必须指定 preload 参数;

觉得妥了就去 HSTS Preload List (hstspreload.appspot.com) 这个页面申请。

在唯一一个文本框输入你的网站即可,这个列表是人工审核,因此可能需要一段时间

3123123.png

已经成功加入HSTS网站是这样的效果

318752.png

特别提醒:对于 HSTS 以及 HSTS Preload List,如果你不能确保永远提供 HTTPS 服务,就不要启用。因为一旦 HSTS 生效,你再想把网站重定向为 HTTP,之前的老用户会被无限重定向,唯一的办法是换新域名。

大概就这样了,本篇文章是对上一篇文章(Nginx的SSL配置优化)的补充。

同时,因为已经看了很多遍QuQu的文章,很熟悉也很认同他说述的 所以本文比较多部分参考了:imququ.com/post/sth-about-switch-to-https.htm

已有 6 条评论
  1. 园子大魔王

    我觉得这是多此一举啊,直接301重定向到https就好了

    园子大魔王 回复
    1. _勤_

      301重定向的确能解决大部分问题,比如运营商劫持什么的;
      不过并不能抵抗恶意攻击。

      _勤_ 回复
    2. 新一

      多次握手你高兴么?

      新一 回复
    3. Chakhsu Lau

      这个见人见智了,不过启用HSTS 可以很好的解决 HTTPS 降级攻击,而加入HSTS Preload List,可以避免首次 HTTP 请求被劫持。大概就这样。

      Chakhsu Lau 回复
  2. 土木坛子

    HTTPS是未来。也是现在。

    土木坛子 回复
    1. Chakhsu Lau

      是的 :p

      Chakhsu Lau 回复
发表新评论