Categories


Tags


服务器启用HSTS协议

HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如,https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向www.williamlong.info或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http 网址 ,浏览器应当自动将 http 转写成 https 网址。

对于nginx服务器,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

add_header Strict-Transport-Security "max-age=31536000";

但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。

对于Windows server服务器,打开网站目录下的 web.config 这个文件,在相应的位置添加上针对 https 响应的 url 重写规则(黑体部分),并保存。

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

<rewrite>

<rules>

<rule name="redirect to HTTPS" enabled="true" stopProcessing="true">

<match url="(.*)" />

<conditions>

<add input="{HTTPS}" pattern="^OFF$" />

</conditions>

<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"

redirectType="Permanent" />

</rule>

</rules>

<outboundRules>

<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">

<match serverVariable="RESPONSE_Strict_Transport_Security"

pattern=".*" />

<conditions>

<add input="{HTTPS}" pattern="on" ignoreCase="true" />

</conditions>

<action type="Rewrite" value="max-age=31536000" />

</rule>

</outboundRules>

</rewrite>

</system.webServer>

</configuration>

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。这时候就可以加入HSTS Preload List。

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。

进入hstspreload官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

当然,加入到了HSTS Preload List后,你可能还需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等发布后,你的域名算是正式被各大浏览器承认并强制使用Https访问了。

来源:月光博客


Public @ 2015-12-25 15:56:03

浅谈网站换域名注意事项

换域名是网站建设过程中不可避免的一部分。如果不注意一些细节,可能会导致网站的排名和流量受到影响。以下是换域名时需要注意的事项: 1.备份网站数据:在换域名之前,一定要备份好网站的所有数据,包括文章、图片、数据库等等。 2.301重定向:在新域名上发布页面,使用301重定向将旧域名上的页面地址修改为新域名地址,这样可以确保旧域名上的排名和访问量被转移到新域名上。 3.更新站内链接:将网站内的链

Public @ 2023-04-22 06:00:13

死链接是如何产生的?

死链接是指指向不存在目标网页或网页已经被删除的链接。产生死链接可能有以下几种情况: 1.链接目标网页已经被删除或不存在,比如网站对某个页面进行了更新,但没有修改原来的链接。 2.链接目标网页的网址被修改,不再是原来的网址了,但链接未被更新。 3.链接目标网页被移动到了其他的位置,但链接未被更新。 4.链接目标网页存在,但由于一些原因,比如服务器宕机、网络故障等,导致无法访问。 5.链接目

Public @ 2023-06-14 01:00:20

.DEV域名HTTPS政策说明

.DEV新顶级域名由 GOOGLE注册局进行管理,注册局将该后缀定位为安全域名,所以按注册局要求,所有DEV域名注册后,必须使用SSL(安全套接字)进行通信,也就是任何使用该域名的用户,在成功注册域名后,必须申请SSL证书并配置好SSL后,才可对外提供HTTPS访问服务,禁止提供HTTP(明文)服务,否则将被注册局视为违约,域名有可能将被锁定或删除。用户成功注册DEV域名后,可点击如下连接购买SS

Public @ 2019-12-09 15:55:58

部署了HTTPS以后重新验证证书如何取消301跳转

我们部署的证书快到期的时候需要重新申请,但是之前设置了301跳转到https,重新申请的时候如果采用文件验证方式会以为跳转而无法通过验证,所以需要先取消301跳转,等验证通过以后再重新部署设置301。首先跳转规则可以参考:www.west.cn/faq/list.asp?unid=1419  我们要取消跳转,就是反向设置,将规则临时删除取消。windows虚拟主机设置方法①网站没有伪静态

Public @ 2020-06-04 15:35:57

更多您感兴趣的搜索

0.495286s