技术分享:如何让网站启用HSTS(严谨安全传输)

时间:2016-12-1 作者:光网烈火编辑部 分类: 技术

2016年12月,光网烈火官方网站正式启用HSTS,全称:HTTP Strict Transport Security。它是国际互联网工程组织IETE正在推行一种新的Web安全协议,作用于强制客户端使用HTTPS与服务器创建安全连接。下面就有请计算机安全运维专家烈火君,给大家分享一下有关于网站启用HSTS(严谨安全传输)的实战部署技术。

技术分享:如何让网站启用HSTS(严谨安全传输)
技术分享:如何让网站启用HSTS(严谨安全传输)

实践,启用HSTS方法

1.通过客户端(浏览器)预加载域名列表,在用户输入域名,例如lighttp.com时,强制切换成https://lighttp.com/。如果中间人使用自己的自签名证书来进行攻击,浏览器会给出警告,但是许多用户会忽略警告。HSTS解决了这一问题,一旦服务器发送了HSTS字段,用户将不再允许忽略警告。

2.配置web释义引擎

在header中加入如下正确字段,可以参照rfc6797。

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

释义:其中max-age值63072000单位为秒,即HSTS的过期时间。

3.提交自己的域名到Chromium Projects

状态为下图等待提交即可,等待一个月的审核时间,打开谷歌chromium项目,用搜索功能,如果发现包含了自己域名,那么说明域名审核通过。

技术分享:如何让网站启用HSTS(严谨安全传输)
浏览器支持
Chromium和Google Chrome从4.0.211.0版本开始支持HSTS
Firefox 4及以上版本
Opera 12及以上版本
Safari从OS X Mavericks起
Internet Explorer从Windows 10技术预览版开始支持,之后微软又向IE11用户推送了支持HSTS的更新。