警告
本文最后更新于 2022-07-01,文中内容可能已过时。
摘要
什么是HSTS
HTTPS(SSL和TLS)确保用户和网站通讯过程中安全,使攻击者难于拦截、修改和假冒。当用户手动输入域名或http://链接,该网站的第一个请求是未加密的,使用普通的http。最安全的网站立即发送回一个重定向使用户引向到https连接,然而,中间人攻击者可能会攻击拦截初始的http请求,从而控制用户后续的回话。
自然而然HSTS应运而生为了解决这一潜在的安全问题。即时用户输入域名或http连接,浏览器将严格的升级到https连接。
添加以下配置项
1
2
3
4
5
6
7
8
9
10
| server {
listen 80;
listen 443 ssl http2; #开启SSL,HTTP/2支持
server_name tms.yuanfusc.com;
ssl_certificate full_chain.pem; #指定证书位置
ssl_certificate_key private.key; #指定KEY位置
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #开启TLSv1.2
ssl_ciphers "EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH"; #使用安全的加密套件
location / {
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; #开启HSTS
|