加入 HSTS Prelod List 让你的域名「嵌入」主流浏览器,一同发行!

2018-03-0714:36:12 14 755
摘要

其实,加入HSTS Preload List(预加载表)还是很简单的,只需要设定好要加入预加载表的域名的 301 跳转(主域名和子域名都要做好 HTTP 到 HTTPS 的 301 跳转哦)在https://hstspreload.org/上提交你的主域名通过效验后等待加入生效即可。一旦生效即表明你的域名已经嵌入浏览器了,浏览器新版本发布时带的HSTS Preload List(预加载表)里已经有你的域名了!

在【假期期间最后的折腾:重新整理优化 SSL 证书】一文里,明月趁着整理所有域名的 SSL 证书期间将年前才购买的博客独立域名 iMydl.com 和 iMydl.tech 都申请加入了 HSTS Prelod List(预加载表),今天发现已经成功完成了加入了。至此,这两个域名算是「嵌入」主流浏览器,一同发行了!

有图有真相!

HSTS 详解

HSTS 的全称是 HTTP Strict-Transport-Security,它是一个 Web 安全策略机制(web security policy mechanism)。

HSTS 最早于 2015 年被纳入到 ThoughtWorks 技术雷达,并且在 2016 年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着 ThoughtWorks 强烈主张业界积极采用这项安全防御措施,并且 ThoughtWorks 已经将其应用于自己的项目。

HSTS 最为核心的是一个 HTTP 响应头(HTTP Response Header)。正是它可以让浏览器得知,在接下来的一段时间内,当前域名只能通过 HTTPS 进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求。

HSTS 存在一个比较薄弱的环节,那就是浏览器没有当前网站的 HSTS 信息的时候,或者第一次访问网站的时候,依然需要一次明文的 HTTP 请求和重定向才能切换到 HTTPS,以及刷新 HSTS 信息。而就是这么一瞬间却给攻击者留下了可乘之机,使得他们可以把这一次的 HTTP 请求劫持下来,继续中间人攻击。

细心的你可能发现了,HSTS 存在一个比较薄弱的环节,那就是浏览器没有当前网站的 HSTS 信息的时候,或者第一次访问网站的时候,依然需要一次明文的 HTTP 请求和重定向才能切换到 HTTPS,以及刷新 HSTS 信息。而就是这么一瞬间却给攻击者留下了可乘之机,使得他们可以把这一次的 HTTP 请求劫持下来,继续中间人攻击。

HSTS Preload List(预加载表):让防御更加彻底

针对上面的攻击,HSTS 也有应对办法,那就是在浏览器里内置一个列表,只要是在这个列表里的域名,无论何时、何种情况,浏览器都只使用 HTTPS 发起连接。这个列表由 Google Chromium 维护,FireFox、Safari、IE 等主流浏览器均在使用

通过SSL Server Test测试下来,可以看到HSTS Preload List(预加载表)已经加入了!有图为证呀!

其实,加入HSTS Preload List(预加载表)还是很简单的,只需要设定好要加入预加载表的域名的 301 跳转(主域名和子域名都要做好 HTTP 到 HTTPS 的 301 跳转哦)在https://hstspreload.org/上提交你的主域名通过效验后等待加入生效即可。一旦生效即表明你的域名已经嵌入浏览器了,浏览器新版本发布时带的HSTS Preload List(预加载表)里已经有你的域名了!

历史文章推荐:

  • 博客公众号
  • 关注本博公众号
  • weinxin
  • 本博客小程序
  • 微信内浏览本博客
  • weinxin

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:14   其中:访客  7   博主  7

    • 大事记 3

      研究了,但是现在问题是301做不成功,临时的跳转在百度站长验证失败。

      • 李峰博客 1

        :roll: 还是简简单单的玩玩博客吧 哈哈

        • 新手seo 0

          https现在还没怎么搞明白,就有 hsts 了。。

          • 泪雪博客 4

            如果主域名旗下有其它子域名没有完成https一定不要做,否则提交后默认主域名下的任何链接都会使用https协议访问。

              • 明月登楼 博主

                @泪雪博客 是的,不过感觉HTTPS是个趋势,所以就加入了!至少我是不会再回到HTTP了!

              • 薅羊毛 5

                不过申请容易,但是撤销很难
                像搞淘宝客 二级域名的话 就不行了,,,,,,,

                  • 明月登楼 博主

                    @薅羊毛 是的,撤销比较麻烦,不过也有人成功撤销了!其实这个感觉只是HTTPS普及阶段的一个临时策略感觉!到HTTPS普及后也就无所谓了!

                  • 大事记 3

                    是不是有一段重复了啊,我目前还实现不了,虚拟机路过。

                    • 懿古今 9

                      我也加入了这个列表,等待审核中