Categories


Tags


服务器启用HSTS协议

HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如,https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向www.williamlong.info或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http 网址 ,浏览器应当自动将 http 转写成 https 网址。

对于nginx服务器,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

add_header Strict-Transport-Security "max-age=31536000";

但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。

对于Windows server服务器,打开网站目录下的 web.config 这个文件,在相应的位置添加上针对 https 响应的 url 重写规则(黑体部分),并保存。

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

<rewrite>

<rules>

<rule name="redirect to HTTPS" enabled="true" stopProcessing="true">

<match url="(.*)" />

<conditions>

<add input="{HTTPS}" pattern="^OFF$" />

</conditions>

<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"

redirectType="Permanent" />

</rule>

</rules>

<outboundRules>

<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">

<match serverVariable="RESPONSE_Strict_Transport_Security"

pattern=".*" />

<conditions>

<add input="{HTTPS}" pattern="on" ignoreCase="true" />

</conditions>

<action type="Rewrite" value="max-age=31536000" />

</rule>

</outboundRules>

</rewrite>

</system.webServer>

</configuration>

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。这时候就可以加入HSTS Preload List。

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。

进入hstspreload官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

当然,加入到了HSTS Preload List后,你可能还需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等发布后,你的域名算是正式被各大浏览器承认并强制使用Https访问了。

来源:月光博客


Public @ 2015-12-25 15:56:03

站点流量异常追查文档-特征页分析

## 摘要 本文旨在详细地分析特定网站群的流量异常情况,特别关注特定特征页的表现,通过剖析因素来发现原因,最后提出相应的解决方案。 ## 背景 如今网络技术的发展,使得企业对于流量和用户体验状况总体考虑日益严谨,可以通过优化特征页面来增加整站点的用户体验,提升流量。众所周知,这些页面创建了一个简单又有趣的结构,提供了有用的信息,但如果特征页面表现不佳,就会出现流量异常,这将对整个网站产生

Public @ 2023-02-25 17:25:04

搜索问答剧场 【三】“搜索流量异常”常见问题解析

铛铛铛铛!经过两期的【搜索问答剧场】后,大家的反响越来越高啦~我(平小雕)在经过一系列的学习思考后,结合大家反馈比例较多的问题,为大家带来站点运营的难题:“流量异常”常见问题解析!本期【搜索问答剧场】,从了解【流量与关键词】工具,到流量变化存在的误区,再到如何自查流量变化等方面,为大家全面解析“流量异常”的常见问题,帮助大家更好的运营自己的网站。一、关注流量,了解工具【流量与关键词】1、Q:在哪里

Public @ 2011-03-14 15:32:24

HTTPS的工作原理,哪些网站适合使用HTTPS?

HTTPS的工作原理: 1. HTTPS(Hypertext Transfer Protocol Secure)使用了SSL(Secure Sockets Layer)或TLS(Transport Layer Security)协议来对HTTP的通信进行加密和认证。 2. 在建立HTTPS连接时,客户端发送请求到服务器,并且服务器会发送一个公钥给客户端。 3. 客户端使用公钥对称地加密一个随机的

Public @ 2023-06-28 17:00:39

windows2003系统SSL证书单站点部署https

本文将讲解,在windows 2003操作系统下,IIS 6 环境的服务器SSL证书安装教程。安装前,请准备好SSL证书,没有的话,可以点这里申请SSL证书>>>部署前请退出服务器内安装的杀毒软件(360、金山、安全狗等安全软件有可能导致SSL证书部署出错)一、解压证书文件。证书文件解压后,找到后缀为.pfx的压缩包,进行解压到固定位置。二、导入证书。1.打开IIS管理器(或开始

Public @ 2009-05-15 15:35:56

更多您感兴趣的搜索

0.413655s