在Windows,Nginx,Apache等服务器配置了 HSTS,可以依照本教程提交至 Google HSTS Preload List

什么是 HSTS Preload List

HSTS preload list是 Chrome 浏览器中的 HSTS 预载入列表,在加入列表的网站,再让用户访问时,浏览器会强制 HTTPS 请求服务器,同时避免 HTTP 的入侵。Firefox、Safari、Edge、IE11 浏览器都在采用这个列表。未来国内浏览器也会陆续加入这个策略。

配置需求

  1. 申请 TrustOcean SSL 证书(如果使用的是 SHA-1 的证书,过期时间必须早于 2016 年)
  2. 所有的 HTTP 定向到 HTTPS
  3. 确定所有在用的子域名都成功配置了 HTTPS
  4. 输出 HSTS 响应头

    add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

  • max-age 不能低于 1 年(31536000 秒)
  • 必须指定 includeSubdomains 参数
  • 必须指定 preload 参数;

三、提交申请

提交网址 https://hstspreload.org/
1-3.png
提交申请过后,需要等待 1-2 月 等待下一次的浏览器版本更新,就会成功内置在浏览器内部。

可以用 Chrome 浏览器输入 chrome://net-internals/#hsts 进行查看是否内置成功

2-3.png

注意:一旦提交之后,就无法撤销,请保持域名的 HTTPS 正常访问。如不想使用 HSTS 只能换域名解决


恭喜您!您的网站已经成功提交 HSTS 预加载策略!
如遇其它问题 欢迎反馈。

标签: none

本页目录: