启用HSTS和申请HSTS Preload List

tengxunyun cera

HSTS是“HTTP Strict Transport Security”(HTTP严格安全传输)的缩写,开启了这项设置以后,主流浏览器会强制性地使用HTTPS来请求资源,能够更加有效地保护你网站和用户的数据安全。一般情况(未启用HSTS),浏览器会允许用户在了解了安全风险之后继续使用不安全的连接来访问,但如果启用了HSTS,则不允许这样做,所以你得有一定要长期使用HTTPS的打算,才能启动HSTS。并且HSTS是针对整个域名,包括所有的二级域名,并不能单独提交二级域名。

启用HSTS

HSTS 是一个响应头,格式如下:

BASIC
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload;

max-age,单位是秒,用来告诉浏览器在指定时间内,这个网站必须通过 HTTPS 协议来访问。也就是对于这个网站的 HTTP 地址,浏览器需要先在本地替换为 HTTPS 之后再发送请求

includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过 HTTPS 协议来访问

preload,可选参数,预加载到浏览器缓存

HSTS 这个响应头只能用于 HTTPS 响应;网站必须使用默认的 443 端口;必须使用域名,不能是 IP。而且启用 HSTS 之后,一旦网站证书错误,用户无法选择忽略。

申请Preload List

HSTS 必须要在浏览器访问过你的网站一次以后才会生效,如果希望提前生效(首次访问就绕过80端口,直接访问443端口,妙用自己琢磨),需要申请 HSTS Preloading List。

目前这个 Preload List 由 Google Chrome 维护,Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 都在使用。如果要想把自己的域名加进这个列表,首先需要满足以下条件:

拥有合法的证书;

将所有 HTTP 流量重定向到 HTTPS;

确保所有子域名都启用了 HTTPS;

输出 HSTS 响应头:

max-age 不能低于 18 周(10886400 秒);

必须指定 includeSubdomains 参数;

必须指定 preload 参数;

满足上述所有条件之后,就可以去 https://hstspreload.org/ 提交申请加入preload list了, 不过加入容易退出难,所以一定要考虑好了再提交申请哦

cera cloudiplc

相关推荐

Debian 9启用Google BBR|实现TCP加速

由于Debian9默认的4.9内核编译了TCP BBR的内容,所以可以直接通过参数开启。 以下均在SSH下操作,最好是root用户。 1、修改系统变量 echo “net.core.default_qdisc=fq” >> /etc/sysctl.conf echo “net.ipv4.tcp_congestion_control=bbr” >> /etc/sysctl.conf 2、保存生效 sysctl -p 3、查看内核是否已开启BBR sysctl net.ipv4.tcp_available_congestion_control 显示如下内容表示开启: sysctl net.ipv4.tcp_available_congestion_control net.ipv4.tcp_available_congestion_control = bbr cubic reno 4、通过上面的操作应该已经启动了BBR。再看下BBR是否启动。 lsmod | grep bbr 显示以下即启动成功: lsmod | grep bbr tcp_bbr 20480 14

|教程|Nginx 启用 TLSv1.3

6 月,OpenSSL 发布了 1.1.1 pre8 版本,开始支持最新的 TLSv1.3 draft28 草案。 几天前,ietf 发布 TLSv1.3 最终定稿 RFC 8446(Via),这将作为 TLSv1.3 的正式版本,结束 draft23 draft28 等草案阶段的历史使命,并为日后的互联网安全提供巨大推动力。 然后在今天,BoringSSL 已提供 TLS_1_3_VERSION (tls13_rfc) 支援(Via)。 关于 TLSv1.3 的特性,可以参照 维基百科 傳輸層安全協議。对于 TLSv1.3 的更多科普,也可参看 dcc 的文章。 今日提交的 BoringSSL Commit d451453 已可用于 TLSv1.3 的正式部署。 编译 使用 BoringSSL 时,开启 TLSv1.3 要求使用 Nginx master 分支及以上(Via)。BoringSSL 也需采用 master 分支。 git clone …

圣信云测评,优惠码,美西CN2,2核,2G内存,30M,三网回程,cn2gia,50G防御,秒解

#圣信云#怎么样,圣信云好不好,站长收到来自圣信云的投稿,商家称成立于3年前,主营有#CN2GIA#,#香港NTT# CN2 GIA,广东#深圳BGP#,委托站长对所销售的,服务器进行一下测评,有需要的可以详细看一下。 官网:https://aiddos.com/ vps套餐: cpu 内存 硬盘 带宽 防御 价格 购买 2核 2G 系统盘+30G SSD数据盘 30M独享 50G 24元/月 点此直达 4核 4G 系统盘+100G SSD数据盘 50M独享 50G 78元/月 点此直达   2. 去程测试 江苏镇江电信  [CN2 GIA] 江苏镇江移动 [CN2 GIA] 江苏镇江联通 3. 回程测试 江苏镇江移动  [CN2 GIA] 江苏镇江联通  [CN2] 江苏镇江电信  [CN2 GIA] 结论:IO被商家限制厉害,但是也防止MJJ瞎折腾,IO目前够用,网络非常好,希望网络一直好下去。

iHostART测评|优惠码|20欧每年|2核|4G内存|40G SSD空间|2T流量|100Mbps端口|KVM|罗马尼亚

#iHostART#,国外商家,主要提供各类#VPS#和#独立服务器#,数据中心主要为#罗马尼亚#,特色是对版权内容宽松。 VDS 1 vCPU:2 @ 2.1 GHz 内存:4 GB 空间:40 GB SSD 流量:2 TB / 月(100Mbps端口) IPv4:1 €20/年 购买地址 VDS 2 vCPU:2 @ 2.1 GHz 内存:10 GB 空间:100 GB SSD 流量:6 TB / 月(100Mbps端口) IPv4:1 €5/月 购买地址 VDS 3 vCPU:4 @ 2.1 GHz 内存:16 GB 空间:150 GB SSD 流量:12 TB / 月(100Mbps端口) IPv4:1 €7/月 购买地址 …

微信扫一扫,分享到朋友圈

启用HSTS和申请HSTS Preload List