本站已自豪地加入 HSTS Preload

Cent 的头像

本站已启用 HSTS,并被正式收录于 HSTS Preload List。在未来的时间里,本站域名将无法以任何方式通过 HTTP 访问。

支持 HSTS Preload 的浏览器将保证用户访问包含在 List 内的域名时只能建立安全连接,这意味着其他任何人无法劫持用户和服务器之间的流量。HSTS Preload 弥补了 HSTS 的缺陷,因为 HSTS 允许用户与服务器建立的第一次连接是非安全连接,这时服务器返回 HSTS 响应头,之后的连接才能被强制 HTTPS。当然,HSTS Preload 不是完美无缺的,虽然多数主流浏览器都已支持,但如果你的根证书有问题呢…

目前,深受运营商劫持之苦的百度也已经加入 HSTS,更加激进的 Google 将其 New gTLDs 默认加入 HSTS Preload List(包括 .app、.day、.new、.ing 等)。这也就是说,使用 .app 顶级域名的所有网站必须采用 HTTPS,HTTPS Everywhere 很可能要升级为 HSTS Everywhere 了。

最后说一下本站的架构,目前采用阿里云香港 -> Cloudflare。采用 Cloudflare 的原因之一是阿里云香港从去年开始经常间歇地发生 SSL 握手 RST / 超时,几乎达到无法正常使用的地步,截止于这篇文章发稿时仍在持续;其二是之前采用直连暴露服务器 IP。虽然 Cloudflare 慢,但确实选无可选,另外 .me 域名从今年开始已经被判死刑了,不知道何时才能开放备案。实际上,本站加入 HSTS Preload 完全要归功于 Cloudflare,目前我使用的是 Cloudflare 自动添加 HSTS 响应头,使用 CF 提供的 Origin Certificates 保证回源时同样使用 HTTPS。

评论

《“本站已自豪地加入 HSTS Preload”》 有 6 条评论

  1. Be**66 去年已经加入 HSTS Preload List,体现了我们对于安全的重视,欢迎访问!

  2. 你的HSTS脱离CF还能够生效吗?比如不使用CF解析,HSTS列表内是否还有贵站点的域名呢?

    1. 脱离 CF 的话需要你自己返回 HSTS 的 Header,如果不返回的话列表里还会有,但有被移除的风险。

    2. 我不太清楚具体的移除机制,但就目前的情况来说,已经过期许久的域名甚至都能留在 List 里面。

  3. 现在似乎阿里云香港不再受影响了,之前我的也是受干扰,迫不得已套cloudflare

    1. 已经脱离阿里云了,目前在用 GCP😂

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注