HSTS 是 HTTP STRICT TRANSPORT SECURITY 的缩写。意思就是强制严格 https 通讯。当浏览器访问过设有 HSTS 头的网站后,浏览器就会记下,以后都会用 HTTPS 访问该网站,无论用户输入的是 http 还是 https。目前 HSTS 已经被 Google Chrome, Firefox, Opera 以及IE。
这里在网站的 web 服务器设置 HSTS 还是会存在一定的不安全的风险,就是当用户第一次输入域名的时候,用的是 http ,还是有可能受到中间人攻击的。所以最好的办法是把你的域名加入到 HSTS Preload 列表中,Google 发起维护的一个列表,该列表会被内置在浏览器内,任何安装该浏览器的电脑,接受到用户所输入的域名后,会比对列表,如果看到已经在列表内了,那就直接用https 访问。
鉴于这些优势,DavidYin 已经把所有在用的网站都加上了证书,并且提交了四个域名的 HSTS Preload 申请。
这是我所提交的一个域名的情况:
具体申请的条件如下:
主机必须有 HSTS Header,就是这个。
此处略去相关代码,请查看桌面标准版文章。
还有一个:就是 http 的 non-www 先要跳转到 www 开头的主机,然后再跳转到 https 的 www 主机。
要记得,如果一个域名要提交,包括其子域名都要是 https 的。
目前,所有的审核还是手工的,所以应该会比较久才会得到通过或者拒绝的结果。虽然现在还没有出现已经收录的被撤销的,但是据说,很快会有撤销的情况,它要求任何时候都要满足提交时的条件。
看看这张截图,是 Paypal 的。
参考资料: