01 SSL

部署ssl证书之后,可以通过 HTTPS 访问网站
开启强制 HTTPS 访问,浏览器通过 HTTP 访问此站点,服务器将会从 HTTP 重定向到 HTTPS 使用更安全的通信方式
开启 HSTS ,浏览器将不允许 HTTP 访问此站点,只能通过 HTTPS 访问,可以有效抵御 SSL 剥离攻击,即中间人攻击

注意上面两句加粗的地方,

02 MySSL

MySSL 有 A+、A、A-、B、C、D、E、F、T 九个评级,A+ 则表示为最安全的评级

之前我的网站(包括博客和工具箱)评级一直是 A 级

现在开启 HSTS 的网站越来越多,大平台如淘宝网、阿里云等,小网站如个人博客

今天突然就想完成到评级提升到 A+

从 A 提升到 A+ 的操作很简单,只需要添加一个头部信息
Nginx:

add_header Strict-Transport-Security "max-age=31536000";

这段信息的意思就是说:在接下来的31536000秒(即一年)中,浏览器向 www.baifan97.cn 发送HTTP请求时,必须采用HTTPS来发起连接。这个规则会从浏览器第一次安全访问这个网站开始生效

所以一旦开启 HSTS ,你的网站就一定要开启 HTTPS ,否则用户就访问不了你的网站了,HSTS 适合已经确定会一直使用全站 HTTPS 的站点

​​‌‌​​​‌‌​‌​​‌‌‍​‌​‌‌‌​​‌‌‌‌​‌​‍​‌​​‌​​​‌​​​‌‌​‍​‌​‌‌​​​‌‌​​​​​‍​​‌​‌‌‌‌‌‌‌‌​​​‍​‌‌​​‌‌‌​‌‌​​‌‌‌‍​‌‌​​​‌‌‌​​​‌​‌‍​​‌‌‌‌‌‌‌‌​​‌‌‍​​​​​​​‌​‌​‌‌‌​‍​​​​‌​‌​​‌​​‌‌​‍​‌​​​​​‌‌‌‌‌‌‌‌‍​‌​‌​‌‌‌‌​‌​​​​‍​‌‌​​​‌​‌‌‌‌​​‌‍‌‌​‌‌‌‌‌‍‌​‌‌​‌‌‌‍‌​‌​‌‌​​‍‌​‌​‌​‌‌‍‌​‌​‌‌​​‍‌‌​‌‌‌‌‌‍​​​​​​​​‌‌‌‌​​‌‌‍​​​​​​​‌​‌​‌‌‌​‍​​​​‌​‌​​‌​​‌‌​‍​‌​​‌​​​‌‌‌​‌‌​‍​‌​‌‌‌​‌​​‌​‌‌‌‍​‌‌‌​‌​​​​‌‌‌​‌‌‍​​​​​​‌​‌​‌‌​​​‍​‌‌‌​​​​​‌​​​​​‌‍​‌​‌‌​‌‌‌​​‌‌‌‌‍‌‌​‌‌‌‌‌‍‌​‌‌‌‌‌​‍‌‌​‌​‌​​‍‌‌​‌‌‌‌‌‍​​‌‌‌‌‌‌‌‌​​‌​‍​​​​​​​​‌‌‌‌​​‌‌‍​​​‌​‌​‌‌​​‌‌‌​‍‌​​​‌​​​‍‌​​‌​‌‌‌‍‌​​‌​‌‌​‍‌​​​‌​‌‌‍‌​​‌‌​‌​‍‌​​‌‌​​‌‍‌​​‌‌‌‌​‍‌​​‌​​​‌‍​‌‌​​​‌​‌‌‌​​​‌‍‌‌​​‌‌​‌‍‌‌​​‌‌‌‌‍‌‌​​‌‌​‌‍‌‌​​‌‌‌‌‍‌‌​‌​​‌​‍‌‌​​‌‌‌‌‍‌‌​​‌​​‌‍‌‌​‌​​‌​‍‌‌​​‌‌​‌‍‌‌​​‌​​​‍​‌​‌‌​‌‌‌‌​​‌​​‍​‌‌​​​​‌​‌​​​‌‌‍​​​​​​​​‌‌‌‌​​‌‌‍​‌​‌‌​​​‌‌​​​​​‍​​‌‌​‌​​‌‌‌‌​​​‍​‌​‌​​​‌‌​​‌‌‌‌‍​‌​‌​​​‌​‌‌‌‌‌‌‍​​​​​​​​‌‌‌​​‌​‌‍‌​​‌​‌‌‌‍‌​​​‌​‌‌‍‌​​​‌​‌‌‍‌​​​‌‌‌‌‍‌​​​‌‌​​‍‌‌​​​‌​‌‍‌​‌​​​‌‌‍‌​‌​​​‌‌‍‌​​​‌​​​‍‌​​​‌​​​‍‌​​​‌​​​‍‌‌​‌​​​‌‍‌​​‌‌‌​‌‍‌​​‌‌‌‌​‍‌​​‌​‌‌​‍‌​​‌‌​​‌‍‌​​‌‌‌‌​‍‌​​‌​​​‌‍‌‌​​​‌‌​‍‌‌​​‌​​​‍‌‌​‌​​​‌‍‌​​‌‌‌​​‍‌​​‌​​​‌‍‌​‌​​​‌‌‍‌​​‌‌‌‌​‍‌​​​‌‌​‌‍‌​​‌‌‌​​‍‌​​‌​‌‌‌‍‌​​‌​‌‌​‍‌​​​‌​​‌‍‌​​‌‌​‌​‍‌​​​‌‌​​‍‌​‌​​​‌‌‍‌‌​​​‌‌‌‍‌‌​​‌‌‌‌‍‌‌​​‌‌​‌‍‌​‌​​​‌‌

检测网站评级等级的浏览器插件:SSL/TLS安全评估报告

WhiteFan_2020-06-27_16-02-42.png
WhiteFan_2020-06-27_16-02-42.png

插件
插件