网站启用HSTS严格HTTPS

由于谷歌已经公开声明搜索引擎对https网站更加友好,排名更优先,所以越来越多的网站用上了https。https的一大好处就是安全,但是目前https并不足够普遍,用户也是懒得在域名前输入https://这样的内容,所以就需要网站设置301进行跳转,但是很有可能网站在跳转前被劫持,引向错误的网站,所以就需要设置HTST,这样可以让用户在第一次访问网站之后保留信息,第二次访问直接浏览器就自动跳转到https网站,避免了被中间人劫持。

一、Nginx的配置

nginx比较简单,vim /etc/nginx/sites-available/xxx.conf修改自己的配置文件,ssl下的server块中加入一行

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

保存退出,然后执行service nginx restart重启nginx即可。63072000意味着这个头信息保留一年,不过这一年中如果有任何一次访问都会重新变成了1年的保留时间。

二、Apache2的配置

apache2的配置和nginx也差不多,到/etc/apache2/sites-available/xxx.conf 中寻找自己的配置文件,也是添加一行:

Header always set Strict-Transport-Security "max-age=15552000; includeSubdomains; preload"

保存退出即可,service apche2 restart重启apache;接着可以使用命令apache2 -t测试自己的配置是否生效。

如果出现了类似下列错误:

Invalid command ‘Header’, perhaps misspelled or defined by a module not included in the server configuration

不要慌张,是没有启用headers模块,执行a2enmod headers命令后再测试一下,问题应该就能解决了。

三、测试设置是否成功

设置完成了,需要看看自己的设置是否成功,就可以用curl -I https://yuan.ga -k命令测试,注意这里的域名就需要加上https了,如果出来的结果中含有类似下列的字段,那么说明自己的设置成功了。

Strict-Transport-Security

“网站启用HSTS严格HTTPS”的2个回复

发表评论

电子邮件地址不会被公开。 必填项已用*标注