HTTP严格传输安全(HSTS)修改开启

  • 16
  • 2,339 views
  • A+
所属分类:Wordpress

相信大部分站长都在开启ssl证书以后都去MYSSL测试自己的网站评分,小站也去了很多次,都属于A级别档次,可是反观现在的博客类网站,绝大部分网站都属于A+行列,百般无奈的我只好再次踏上百度求真的旅途!

经过数十天的求解,我看到了一篇文章中写道“开启HSTS,开启A+评分之旅”!!!!!

2018-3-17 关于子域名无法访问事宜,因HSTS要求该域名下所有子域名均需要开启https才能生效,所有子域名无法https的朋友们不要设置HSTS,如果已经设置的想退出的,请将max-age=63072000后数值设置为1,具体请参考https://birdteam.net/2017/12/pits-after-opening-hsts.html

可是这文章涉及到需要更改服务器的某些东西(这里我只对Nginx修改说明,毕竟我是按这个方法改的):

    • 使用宝塔(BT)面板;
    • wordpress程序
  • 原代码如下:
    1. server
    2. {
    3.     listen 80;
    4.     listen 443 ssl http2;
    5.     server_name wlwlwx.com www.wlwlwx.com;
    6.     index index.php default.php default.htm default.html index.html index.htm;
    7.     root /www/wwwroot/wlwlwx.com;
  • 修改成如下:
  1. server
  2. {
  3.     listen 80;
  4.     listen 443 ssl http2;
  5.     #listen [::]:443 ssl http2;
  6.     server_name wlwlwx.com www.wlwlwx.com;
  7.     #开启HTTP严格传输安全HSTS
  8.     add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
  9.     #开启HTTP严格传输安全HSTS
  10.     index index.php default.php default.htm default.html index.html index.htm;
  11.     root /www/wwwroot/wlwlwx.com;
  • 保存配置,重启Nginx,然后你就可以去MYSSL测试啦!恭喜你,你会发现你也进入A+的行列啦!

本文纯属小白文,大神看了莫笑,小弟属于门外汉只会依葫芦画瓢,凑乎的画的人模狗样儿而已!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen:

目前评论:16   其中:访客  8   博主  8

    • DetaoC DetaoC 0

      修正错误:
      includeSubdomains;
      删除这个即可不应用于其他子域名

      • 魏艾斯博客 魏艾斯博客 0

        HSTS不要轻易添加,一般12个月内无法取消,如果你中间需要降级到http的话,网站就无法打开了,https已经是A了,对于网站SEO啥的都满足了。

          • CherryBlossoms CherryBlossoms Admin

            @魏艾斯博客 呵呵,已经设置了 没办法就这么搞吧 反正我二级域名也不用!后续估计都不会降级到http吧 毕竟现在网络上一堆吃饱撑的没事干的人 今天攻击这个 明天攻击那个的!

          • Vultr VPS Vultr VPS 0

            朋友 交换链接吗

            • 陈鑫威博客 陈鑫威博客 1

              测试发现,修改后,全站HSTS,包括二级域名。导致二级域名无法打开

                • CherryBlossoms CherryBlossoms Admin

                  @陈鑫威博客 不至于吧!你是用的宝塔吗?我发布的这个是我自己就这样设置的!测试无问题啊!

                    • 陈鑫威博客 陈鑫威博客 1

                      @CherryBlossoms 对啊,宝塔。你可以创建二级域名测试一下

                        • CherryBlossoms CherryBlossoms Admin

                          @陈鑫威博客 我试试哈!你是说单独的在创建一个二级域名?还是要把这个二级域名绑到现有的网站上啊! :shock:

                          • CherryBlossoms CherryBlossoms Admin

                            @陈鑫威博客 竟然真的如此啊!看来又要去百度学习啦@ :lol: :cry:

                            • CherryBlossoms CherryBlossoms Admin

                              @陈鑫威博客 includeSubDomains,可选参数,如果指定这个参数,表明这个网站所有子域名也必须通过HTTPS协议来访问。
                              我查了下,是不是因为这个参数启用了导致的啊!你可以研究下哇!我这边一般不启用二级域名折腾了!这一个域名都懒得架设啊@!

                        • 龙勇勇 龙勇勇 0

                          感谢博主在百忙中抽时间来分享这篇文章,读了这篇文章很受益,希望博主博客越办越好。

                          • 陈鑫威博客 陈鑫威博客 1

                            主页面引用了不安全的HTTP资源,降级为B
                            jb尴尬 :sad:

                            • 懿古今 懿古今 0

                              一般都是添加响应头,然后到HSTS官网那里去提交链接,然后等待审核即可。

                                • CherryBlossoms CherryBlossoms Admin

                                  @懿古今 嘿嘿 没去提交,我只是看那个myssl 评价A+就好了!折腾着玩而已!