国内外VPS
主机测评与优惠

服務器啟用HSTS協議

HSTS(HTTP Strict Transport Security)國際互聯網工程組織IETF正在推行一種新的Web安全協議,網站可以選擇使用HSTS策略,來讓瀏覽器強制使用HTTPS與網站進行通信,以減少會話劫持風險。

採用HSTS協議的網站將保證瀏覽器始終連接到該網站的HTTPS加密版本,不需要用戶手動在URL地址欄中輸入加密地址。該協議將幫助網站採用全局加密,用戶看到的就是該網站的安全版本。HSTS的作用是強制客戶端(如瀏覽器)使用HTTPS與服務器創建連接。

服務器開啟HSTS的方法是,當客戶端通過HTTPS發出請求時,在服務器返回的超文本傳輸協議響應頭中包含Strict-Transport-Security字段。非加密傳輸時設置的HSTS字段無效。

比如,://.williamlong.info 的響應頭含有Strict-Transport-Security: max-age=31536000; includeSubDomains。這意味着兩點:在接下來的一年(即31536000秒)中,瀏覽器只要向www.williamlong.info或其子域名發送HTTP請求時,必須採用HTTPS來發起連接。比如,用戶點擊超鏈接或在地址欄輸入 http 網址 ,瀏覽器應當自動將 http 轉寫成 網址。

對於nginx服務器,只要在添加Strict-Transport-Security這個HTTP頭部信息即可。

add_header Strict-Transport-Security “max-age=31536000”;

但有一點需要注意,Strict-Transport-Security中的max-age的時間不能小於15552000。

對於Windows server服務器,打開網站目錄下的 web.config 這個文件,在相應的位置添加上針對 響應的 url 重寫規則(黑體部分),並保存。

<?xml version=”1.0″ encoding=”UTF-8″?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule =”redirect to ” enabled=”true” stopProcessing=”true”>
<match url=”(.*)” />
<conditions>
<add input=”{}” pattern=”^OFF$” />
</conditions>
<action type=”Redirect” url=”https://{HTTP_HOST}/{R:1}”
redirectType=”Permanent” />
</rule>
</rules>
            <outboundRules>
<rule =”Add Strict-Transport-Security when HTTPS” enabled=”true”>
<match serverVariable=”RESPONSE_Strict_Transport_Security”
pattern=”.*” />
<conditions>
<add input=”{HTTPS}” pattern=”on” ignoreCase=”true” />
</conditions>
<action type=”Rewrite” value=”max-age=31536000″ />
</rule>
</outboundRules>

</rewrite>
</system.webServer>
</configuration>

開啟了HSTS后,你部署SSL/TLS的服務檢測得分就可能是A+以上了。這時候就可以加入HSTS Preload List。

HSTS preload list是Chrome瀏覽器中的HSTS預載入列表,在該列表中的網站,使用Chrome瀏覽器訪問時,會自動轉換成HTTPS。Firefox、Safari、Edge瀏覽器也在採用這個列表。

進入hstspreload官網,輸入你的域名,然後檢測結果會告訴是否符合加入HSTS Preload List,沒有問題的話勾選確定。

當然,加入到了HSTS Preload List后,你可能還需要等待1-2月,待新版本的Chrome和Chromium、Firefox、IE等發布后,你的域名算是正式被各大瀏覽器承認並強制使用Https訪問了。

赞(0)
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《服務器啟用HSTS協議》
文章链接:https://www.liuzhanwu.com/25672.html
本站资源仅供个人学习交流,请于下载后24小时内删除,不允许用于商业用途,否则法律问题自行承担。

评论 抢沙发

评论前必须登录!