本站被强制 HTTPS

坛子兄的提醒,才猛然发现本站已经“被” HTTPS 了。在使用最新版本的 Chrome、Firefox 和 IE 11 访问本站时,浏览器将不允许你使用未加密的链接来访问本站。

原因?因为 Chrome 和 Firefox 分别维护了一份网站列表,当用户访问列表中的网站时,Chrome 和 Firefox 会自动使用 HTTPS 来访问。这项技术被称为 HSTS(HTTP Strict Transport Security)。我在使用 HSTS 之初就知道这个列表的存在,本来以为它们只是针对一些大的热门网站,毕竟收集互联网上所有的网站是不太可能的事情。但很荣幸的是,本站被两份列表都收录了:

Chrome(文件较大,谨慎打开)

Firefox

微软也表示,IE 11 将使用 Chrome 所提供的列表。于是,三大浏览器都将安全地访问本站。

如果想要使用 HSTS,只要在服务器的 HTTPS 输出中添加如下报头(Header)。注意一定要在 HTTPS 中才有效果,在 HTTP 中输出是无效的。

启用 HTTPS 的好处不言而喻,但这份静态的列表不禁让我担心某一天要是本站不支持 HTTPS 了,要撤销也是一件很麻烦的事情。不过现在还不用过分关注这件事,毕竟 HTTPS 是大趋势。


17 条评论 添加

      1. 44里面也加入了,你查询一下,在Chrome里面: chrome://net-internals/#hsts

        Found:
        static_sts_domain: leonax.net
        static_upgrade_mode: STRICT
        static_sts_include_subdomains: true
        static_sts_observed: 1437679316
        static_pkp_domain:
        static_pkp_include_subdomains:
        static_pkp_observed:
        static_spki_hashes:
        dynamic_sts_domain: leonax.net
        dynamic_upgrade_mode: STRICT
        dynamic_sts_include_subdomains: true
        dynamic_sts_observed: 1437821997.068316
        dynamic_pkp_domain:
        dynamic_pkp_include_subdomains: false
        dynamic_pkp_observed: 0
        dynamic_spki_hashes:

          1. 这个预加名单,也只适用Chrome Firefox IE 11+这几个浏览器,其它的就不一定了,所以你的301强制HTTPS还是应该留着的。80端口是你以前在网络下留下的HTTP链接还需要的吧?

发表评论

电子邮件地址不会被公开。 必填项已用*标注