01 SSL
部署ssl证书之后,可以通过 HTTPS 访问网站
开启强制 HTTPS 访问,浏览器通过 HTTP 访问此站点,服务器将会从 HTTP 重定向到 HTTPS 使用更安全的通信方式
开启 HSTS ,浏览器将不允许 HTTP 访问此站点,只能通过 HTTPS 访问,可以有效抵御 SSL 剥离攻击,即中间人攻击
注意上面两句加粗的地方,
02 MySSL
MySSL 有 A+、A、A-、B、C、D、E、F、T 九个评级,A+ 则表示为最安全的评级
之前我的网站(包括博客和工具箱)评级一直是 A 级
现在开启 HSTS 的网站越来越多,大平台如淘宝网、阿里云等,小网站如个人博客
今天突然就想完成到评级提升到 A+
从 A 提升到 A+ 的操作很简单,只需要添加一个头部信息
Nginx:
add_header Strict-Transport-Security "max-age=31536000";
这段信息的意思就是说:在接下来的31536000秒(即一年)中,浏览器向 www.baifan97.cn 发送HTTP请求时,必须采用HTTPS来发起连接。这个规则会从浏览器第一次安全访问这个网站开始生效
所以一旦开启 HSTS ,你的网站就一定要开启 HTTPS ,否则用户就访问不了你的网站了,HSTS 适合已经确定会一直使用全站 HTTPS 的站点
检测网站评级等级的浏览器插件:SSL/TLS安全评估报告