01 SSL

部署ssl证书之后，可以通过 HTTPS 访问网站
开启强制 HTTPS 访问，浏览器通过 HTTP 访问此站点，服务器将会从 HTTP 重定向到 HTTPS 使用更安全的通信方式
开启 HSTS ，浏览器将不允许 HTTP 访问此站点，只能通过 HTTPS 访问，可以有效抵御 SSL 剥离攻击，即中间人攻击

注意上面两句加粗的地方，

02 MySSL

MySSL 有 A+、A、A-、B、C、D、E、F、T 九个评级，A+ 则表示为最安全的评级

之前我的网站（包括博客和工具箱）评级一直是 A 级

现在开启 HSTS 的网站越来越多，大平台如淘宝网、阿里云等，小网站如个人博客

今天突然就想完成到评级提升到 A+

从 A 提升到 A+ 的操作很简单，只需要添加一个头部信息
Nginx：

add_header Strict-Transport-Security "max-age=31536000";

这段信息的意思就是说：在接下来的31536000秒（即一年）中，浏览器向 www.baifan97.cn 发送HTTP请求时，必须采用HTTPS来发起连接。这个规则会从浏览器第一次安全访问这个网站开始生效

所以一旦开启 HSTS ，你的网站就一定要开启 HTTPS ，否则用户就访问不了你的网站了，HSTS 适合已经确定会一直使用全站 HTTPS 的站点

检测网站评级等级的浏览器插件：SSL/TLS安全评估报告