HSTS告诉网站使用的是HTTPS但它需要一个HTTP请求来携带内容,如果域名在HSTS Preload List中,那么浏览器就会直接启用HSTS。
首先,打开网站,输入你的顶级域名,点击按钮,网站会检测你的HSTS设置是否符合要求。
一般来说,有以下要求
- 提供一个可用的证书(保证 SSL/TLS 证书可用)
- 将HTTP内容重定向到同样的主机名
- 为所有的子域名提供HTTPS服务,尤其是你有 www 子域
- 在 HTTPS 请求头中包含 HSTS 信息并满足:
- 最大缓存时间大于 1 年 (31536000 s )
- 指定 includeSubDomains 和 preload
- 从 HTTPS 站点的重定向,指向的网址也必须包含 HSTS 请求头
关于 HSTS 详见:RFC 6797: HTTP Strict Transport Security (HSTS) (rfc-editor.org)
合规后,你需要确认这两项:
最后点击按钮,将你的域名推送到 HSTS Preload List 你可能需要 2-3 个月等待正式版内核浏览器更新,才能生效。
