網(wǎng)站配置HSTS協(xié)議的好處和必要性

一般情況下我們訪問一個網(wǎng)站時，在瀏覽器中輸入網(wǎng)址。比如直接輸入網(wǎng)址https://wpbox.cc或 wpbox.cc，這就給了中間人攻擊的機(jī)會，會被重定向到惡意站點，不是很安全。

我的WordPress百寶箱使用了七牛免費SSL，雖然實現(xiàn)了HTTPS，但是在打開網(wǎng)站的一瞬間，經(jīng)常看到需要從 HTTP 訪問跳轉(zhuǎn)到 HTTPS。

因為在主機(jī)上做過301重定向到 https://wpbox.cc， HTTPS 網(wǎng)站的做法是對用戶的 HTTP 訪問跳轉(zhuǎn)到 HTTPS。這個跳轉(zhuǎn)使用了不安全的 HTTP 通信。

HSTS協(xié)議的出現(xiàn)就是解決這個問題的。HSTS可以阻止基于SSLStrip 的中間人攻擊；

而HSTS協(xié)議使 Web 服務(wù)器告知瀏覽器不使用 HTTP 訪問，在瀏覽器端自動將所有到該站點的 HTTP 訪問替換為 HTTPS 訪問。

HSTS是網(wǎng)站從HTTP跳轉(zhuǎn)到HTTPS中加強(qiáng)網(wǎng)站性能及安全優(yōu)化非常重要的一個環(huán)節(jié)。我的WordPress百寶箱，在使用中，發(fā)現(xiàn)對于我的網(wǎng)站訪問速度、Google搜索引擎收錄優(yōu)化，有非常大的幫助，非常值得推薦。

因為我的WordPress百寶箱是搭建在Wopus的虛擬主機(jī)上，所以實現(xiàn)HSTS和一般的VPS服務(wù)器搭建的網(wǎng)站還是有非常大的區(qū)別的。

基本思路就是通過Really Simple SSL pro插件和按照HSTS Preload List檢測要求來完成HSTS布置的。

關(guān)于如何設(shè)置HSTS，并提交HSTS Preload List下篇文章再做介紹。

這篇主要是介紹HSTS和配置HSTS給網(wǎng)站帶來了什么好處。。

采用HSTS協(xié)議的網(wǎng)站將保證瀏覽器始終連接到該網(wǎng)站的 HTTPS 加密版本，不需要用戶手動在瀏覽器地址欄中輸入加密地址，直接跳轉(zhuǎn)到HTTPS網(wǎng)站，不再使用HTTP。

HSTS協(xié)議可以對你的網(wǎng)站采用全局加密，用戶看到的就是該網(wǎng)站的安全版本。也就是在瀏覽器中，直接顯示的是帶有小綠鎖版本的網(wǎng)站，不再是標(biāo)識為不安全的網(wǎng)站。

HSTS協(xié)議帶有強(qiáng)制性，強(qiáng)制瀏覽器使用 HTTPS與服務(wù)器創(chuàng)建連接。所以要想解除HSTS協(xié)議，還是比較麻煩的。但是因為這個協(xié)議是由各大瀏覽器公司和互聯(lián)網(wǎng)組織推動，所以暫時沒有淘汰的可能性。

HSTS如何工作

配置HSTS后，會在給瀏覽器返回的 HTTP頭部攜帶HSTS字段。

瀏覽器獲取到該信息后，會將所有 HTTP 訪問請求在內(nèi)部做307跳轉(zhuǎn)到 HTTPS，而無需任何網(wǎng)絡(luò)過程，從而提高了兼容性。

目前幾乎所有的瀏覽器都支持HSTS

但是HSTS是有一個問題，第一次訪問網(wǎng)站的瀏覽器，HSTS 并不工作。

要解決這個問題，需要將網(wǎng)站提交到HSTS preload list。

什么是HSTS Preload List？

HSTS Preload List是瀏覽器中的 HSTS 預(yù)載入列表。

進(jìn)入該列表中的網(wǎng)站，使用瀏覽器訪問時，會自動轉(zhuǎn)換成 HTTPS。

具體的申請條件，可以將你的網(wǎng)站提交HSTS Preload List ，提交會出來你要滿足什么條件；

因為我是用的Really Simple SSL pro插件配置的HSTS，提交到HSTS Preload List，今天查看已經(jīng)通過審核。

從申請到審核通過，時間在十天左右。在提交申請的這段時間里，不要取消任何的301重定向，如果取消可能審核不通過。不過審核通過后，就可以取消。

HSTS的必要性

強(qiáng)制通過使用HSTS協(xié)議，瀏覽器直接使用HTTPS訪問頁面，有效阻止中間人劫持；通過減少跳轉(zhuǎn)請求，也會提高網(wǎng)站的訪問速度。對網(wǎng)站整體優(yōu)化，有非常的大的促進(jìn)作用。。