Categories


Tags


服务器启用HSTS协议

HSTS(HTTP Strict Transport Security)国际互联网工程组织IETF正在推行一种新的Web安全协议,网站可以选择使用HSTS策略,来让浏览器强制使用HTTPS与网站进行通信,以减少会话劫持风险。

采用HSTS协议的网站将保证浏览器始终连接到该网站的HTTPS加密版本,不需要用户手动在URL地址栏中输入加密地址。该协议将帮助网站采用全局加密,用户看到的就是该网站的安全版本。HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。

服务器开启HSTS的方法是,当客户端通过HTTPS发出请求时,在服务器返回的超文本传输协议响应头中包含Strict-Transport-Security字段。非加密传输时设置的HSTS字段无效。

比如,https://www.williamlong.info 的响应头含有Strict-Transport-Security: max-age=31536000; includeSubDomains。这意味着两点:在接下来的一年(即31536000秒)中,浏览器只要向www.williamlong.info或其子域名发送HTTP请求时,必须采用HTTPS来发起连接。比如,用户点击超链接或在地址栏输入 http 网址 ,浏览器应当自动将 http 转写成 https 网址。

对于nginx服务器,只要在添加Strict-Transport-Security这个HTTP头部信息即可。

add_header Strict-Transport-Security "max-age=31536000";

但有一点需要注意,Strict-Transport-Security中的max-age的时间不能小于15552000。

对于Windows server服务器,打开网站目录下的 web.config 这个文件,在相应的位置添加上针对 https 响应的 url 重写规则(黑体部分),并保存。

<?xml version="1.0" encoding="UTF-8"?>

<configuration>

<system.webServer>

<rewrite>

<rules>

<rule name="redirect to HTTPS" enabled="true" stopProcessing="true">

<match url="(.*)" />

<conditions>

<add input="{HTTPS}" pattern="^OFF$" />

</conditions>

<action type="Redirect" url="https://{HTTP_HOST}/{R:1}"

redirectType="Permanent" />

</rule>

</rules>

<outboundRules>

<rule name="Add Strict-Transport-Security when HTTPS" enabled="true">

<match serverVariable="RESPONSE_Strict_Transport_Security"

pattern=".*" />

<conditions>

<add input="{HTTPS}" pattern="on" ignoreCase="true" />

</conditions>

<action type="Rewrite" value="max-age=31536000" />

</rule>

</outboundRules>

</rewrite>

</system.webServer>

</configuration>

开启了HSTS后,你部署SSL/TLS的服务检测得分就可能是A+以上了。这时候就可以加入HSTS Preload List。

HSTS preload list是Chrome浏览器中的HSTS预载入列表,在该列表中的网站,使用Chrome浏览器访问时,会自动转换成HTTPS。Firefox、Safari、Edge浏览器也在采用这个列表。

进入hstspreload官网,输入你的域名,然后检测结果会告诉是否符合加入HSTS Preload List,没有问题的话勾选确定。

当然,加入到了HSTS Preload List后,你可能还需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等发布后,你的域名算是正式被各大浏览器承认并强制使用Https访问了。

来源:月光博客


Public @ 2015-12-25 15:56:03

大型网站的 HTTPS 实践(4):协议层以外的实践

百度在2015年即完成HTTPS改造,那大型网站的HTTPS改造中都有哪些实践经验,学堂君特分析这篇干货满满系列内容,转自百度运维博客。1 前言网上介绍 HTTPS  的文章并不多,更鲜有分享在大型互联网站点部署 HTTPS  的实践经验,我们在考虑部署HTTPS 时也有重重的疑惑。本文为大家介绍百度 HTTPS 的实践和一些权衡, 希望以此抛砖引玉。2 协议层以外的实践工作2

Public @ 2022-08-20 15:22:21

百度索引量变化追查投诉方法

各位站长都知道索引量(或称收录量)是网站流量的基石,每天都会盯着百度搜索资源平台(原百度站长平台)提供的索引量工具查看。理论上说,索引量发生波动属于正常,但也不应掉以轻心。那么,索引量发生变化后该如何追查原因呢?在上周在百度大厦举办的VIP大讲堂中,百度搜索资源平台(原百度站长平台)专家姬东琪老师向学员讲解了追查索引量变化的流程,今天小编也分享给没有参与现场讲座的站长朋友:关于申诉,除了再一次播报

Public @ 2017-03-16 15:34:48

全站HTTPS来了!有何优势、与HTTP有何不同?

最近大家在使用百度、谷歌或淘宝的时候,是不是注意浏览器左上角已经全部出现了一把绿色锁,这把锁表明该网站已经使用了 HTTPS 进行保护。仔细观察,会发现这些网站已经全站使用 HTTPS。同时,iOS 9 系统默认把所有的 http 请求都改为 HTTPS 请求。随着互联网的发展,现代互联网正在逐渐进入全站 HTTPS 时代。因此有开发同学会问:全站 HTTPS 能够带来怎样的优势?HTTPS 的原

Public @ 2018-11-07 15:56:04

如何在阿里云申请免费的SSL证书?

在阿里云官网搜索“SSL证书”,进入SSL证书页面。在页面上找到“免费证书申请”,点击进入。 然后在页面上输入自己的信息,包括证书名称、域名、邮箱等,填写完毕后点击“立即领取免费证书”即可。 此时会出现提示窗口,告诉你证书的领取结果,如果成功领取到证书,可以在“免费证书申请”页面找到新生成的证书,点击下载即可下载证书并安装。其中还有详细的安装教程。

Public @ 2023-06-18 21:50:13

更多您感兴趣的搜索

0.434854s