HSTS Preload 通过审核

  • Posted on | Updated on
  • by
  • in

在上文提到我把包括本站在内的几个域名都提交了 HSTS Preload 的申请,之后大概过了一周的时间,就可以看到已经通过了审核。

据官方的说明,现在每周他们都会手工审核相关的申请,当然之前,在提交的时候已经有了初步的自动审查,但是最后一步的审核以及合并到列表中,则是人工操作。
本站的域名,就是 g2soft.net, 已经可以在最新的 HSTS Preload 列表中查询到。 https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json

当然也可以直接到申请页面查询,一般在提交申请的表单的地方,输入域名,然后点击按钮,就会显示当前的状态。
或者点击这个链接,就可以看到查询状态。

hsts-g2soft.png

查询的那些符合要求的域名,也就是HSTS Preload列表中的域名会被包含在Chrome浏览器的源代码中,所以新添加的域名,如果要真正的生效,需要一些时间,也就是要等到Chrome发布新版之后,才有可能包含在浏览器内。

一个更为简单的api查询链接是这样的:
https://hstspreload.appspot.com/api/v2/status?domain=g2soft.net
https://hstspreload.appspot.com/api/v2/preloadable?domain=g2soft.net

在ssllab的服务器测试结果中,本站的查询结果是这样的:
A+
ssllab-seoblog-results.png

有关HSTS的检测结果如下:
Strict Transport Security (HSTS) Yes max-age=15768000
HSTS Preloading Chrome Not in: Edge Firefox IE Tor
也就是说,HSTS Preload 已经在Chrome中了,其它浏览器还没有包含。

其实HSTS Preload 还有一个好处就是,即使从未访问过我的blog的新用户,输入的是http://seo.g2soft.net/或者是seo.g2soft.net到浏览器的网址框里,浏览器都会直接用https访问,这样就减少了一次重定向,这就是安全之外所带来的额外好处。


作者: David Yin
原载: SEO 网站优化推广
版权所有。转载时必须以链接形式注明作者和及本声明。