给网站启用Hsts,SSL/TLS安全评估达到A+

in Share with 0 comment

HSTS

HSTS是国际互联网工程组织 IETE 正在推行一种新的 Web安全协议HTTP Strict Transport Security(HSTS)。采用 HSTS 协议的网站将保证浏览器始终连接到该网站的 HTTPS 加密版本,不需要用户手动在 URL 地址栏中输入加密地址。也就是打开网站会直接跳转到https加密的链接。

Apache2 配置 HSTS

编辑你的 apache 配置文件(如 /etc/apache2/sites-enabled/website.conf 和 /etc/apache2/httpd.conf ),并加以下行到你的 HTTPS VirtualHost:

Header always set Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"

然后重启Apche

Nginx 配置 HSTS

编辑Nginx配置文件就可以了,找到安装Nginx下的Nginx.conf文件

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

然后重启Nginx就可以了

BT.CN配置教程

因为我使用的是BT控制面板

网站→站点设置→配置文件
(我使用的是nginx,直接插入nginx的代码就可以了,如果是apche则插入apche的代码)
BT配置hsts

SSL/TLS的服务检测评分

官网:https://www.ssllabs.com/
中文版:https://myssl.com
演示:https://myssl.com/alone88.cn?status=success
给网站启用Hsts

Responses