HSTS(HTTP Strict Transport Security)國際互聯網工程組織IETF正在推行一種新的Web安全協議,網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少會話劫持風險。
採用HSTS協議的網站將保證瀏覽器始終連接到該網站的HTTPS加密版本,不需要用戶手動在URL地址欄中輸入加密地址。該協議將幫助網站採用全局加密,用戶看到的就是該網站的安全版本。HSTS的作用是強制客戶端(如瀏覽器)使用HTTPS與服務器創建連接。
服務器開啟HSTS的方法是,當客戶端通過HTTPS發出請求時,在服務器返回的超文本傳輸協議響應頭中包含Strict-Transport-Security字段。非加密傳輸時設置的HSTS字段無效。
比如,https://www.williamlong.info 的響應頭含有Strict-Transport-Security: max-age=31536000; includeSubDomains。這意味着兩點:在接下來的一年(即31536000秒)中,瀏覽器只要向www.williamlong.info或其子域名發送HTTP請求時,必須採用HTTPS來發起連接。比如,用戶點擊超鏈接或在地址欄輸入 http 網址 ,瀏覽器應當自動將 http 轉寫成 https 網址。
對於nginx服務器,只要在添加Strict-Transport-Security這個HTTP頭部信息即可。
add_header Strict-Transport-Security “max-age=31536000”;
但有一點需要注意,Strict-Transport-Security中的max-age的時間不能小於15552000。
對於Windows server服務器,打開網站目錄下的 web.config 這個文件,在相應的位置添加上針對 https 響應的 url 重寫規則(黑體部分),並保存。
name=”redirect to HTTPS” enabled=”true” stopProcessing=”true”>
HTTPS}” pattern=”^OFF$” />
redirectType=”Permanent” />
name=”Add Strict-Transport-Security when HTTPS” enabled=”true”>
pattern=”.*” />
開啟了HSTS后,你部署SSL/TLS的服務檢測得分就可能是A+以上了。這時候就可以加入HSTS Preload List。
HSTS preload list是Chrome瀏覽器中的HSTS預載入列表,在該列表中的網站,使用Chrome瀏覽器訪問時,會自動轉換成HTTPS。Firefox、Safari、Edge瀏覽器也在採用這個列表。
進入hstspreload官網,輸入你的域名,然後檢測結果會告訴是否符合加入HSTS Preload List,沒有問題的話勾選確定。
當然,加入到了HSTS Preload List后,你可能還需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等發布后,你的域名算是正式被各大瀏覽器承認並強制使用Https訪問了。
