经坛子兄的提醒,才猛然发现本站已经“被” HTTPS 了。在使用最新版本的 Chrome、Firefox 和 IE 11 访问本站时,浏览器将不允许你使用未加密的链接来访问本站。
原因?因为 Chrome 和 Firefox 分别维护了一份网站列表,当用户访问列表中的网站时,Chrome 和 Firefox 会自动使用 HTTPS 来访问。这项技术被称为 HSTS(HTTP Strict Transport Security)。我在使用 HSTS 之初就知道这个列表的存在,本来以为它们只是针对一些大的热门网站,毕竟收集互联网上所有的网站是不太可能的事情。但很荣幸的是,本站被两份列表都收录了:
Chrome(文件较大,谨慎打开)
1 |
{ "name": "leonax.net", "include_subdomains": true, "mode": "force-https" }, |
1 |
{ "leonax.net", true }, |
而微软也表示,IE 11 将使用 Chrome 所提供的列表。于是,三大浏览器都将安全地访问本站。
如果想要使用 HSTS,只要在服务器的 HTTPS 输出中添加如下报头(Header)。注意一定要在 HTTPS 中才有效果,在 HTTP 中输出是无效的。
1 |
Strict-Transport-Security: max-age=10886400; includeSubDomains; preload |
启用 HTTPS 的好处不言而喻,但这份静态的列表不禁让我担心某一天要是本站不支持 HTTPS 了,要撤销也是一件很麻烦的事情。不过现在还不用过分关注这件事,毕竟 HTTPS 是大趋势。
怎么回事?http://leonax.net/ 也可以的呢。
应该是 Chrome 45 刚添加的,目前 Stable 只有 43,还看不出效果。
44里面也加入了,你查询一下,在Chrome里面: chrome://net-internals/#hsts
Found:
static_sts_domain: leonax.net
static_upgrade_mode: STRICT
static_sts_include_subdomains: true
static_sts_observed: 1437679316
static_pkp_domain:
static_pkp_include_subdomains:
static_pkp_observed:
static_spki_hashes:
dynamic_sts_domain: leonax.net
dynamic_upgrade_mode: STRICT
dynamic_sts_include_subdomains: true
dynamic_sts_observed: 1437821997.068316
dynamic_pkp_domain:
dynamic_pkp_include_subdomains: false
dynamic_pkp_observed: 0
dynamic_spki_hashes:
你的评论现在似乎有结问题,点击提交后,一片空白,用户体验不好。
希望我不是在给你找麻烦。
谢谢提醒,现在已修复。
看来我可以放弃 80 端口了。
这个预加名单,也只适用Chrome Firefox IE 11+这几个浏览器,其它的就不一定了,所以你的301强制HTTPS还是应该留着的。80端口是你以前在网络下留下的HTTP链接还需要的吧?
你这也太不统一了,www和非www的内容不一样。
www 的刷新问题一直还没有解决,暂时只作为静态文件的 CDN,等解决了会统一重定向过去。
居然还有你解决不了的事情。
不是解决不了,而是全站 CDN 暂时还不会带来太大的好处,所以这个问题并不紧急,我就没有放在心上。
在你这里,总觉得土哥是中国好博友啊,各种问题反馈~
嗯,这也是我继续修改的动力。
我怎么听着我像土拨鼠?
咋没人来强制我呢?
我之前设置了HSTS,现在去掉ssl后很多朋友都无限重定向了。。
嗯,我发现了,现在每次访问你的博客要用 Safari。