首頁 發表: 美術繪圖 | 美術設計 | 攝影 | 熱門標籤 美術討論: 美術工作 | 美術比賽 | 展覽活動 | 美術相關 | 一般討論 | 美術同好 CG 討論 :: Photoshop | Painter | 3D 行動 | AMP

【 立即註冊 】 : 更改個人資料 : : 登入

會員名稱: 登入密碼: 保持登入

如何申請 https HSTS Preload List,讓瀏覽器看我的網站一律走 HTTPS

發表新主題 回覆主題 討論區 Windows, Linux, Perl, PHP, C/C++, Driver, Web 理論、應用、硬體、軟體

| 1頁, 共1
發表人 人氣點閱:702
Type



繪圖畫廊設計藝廊
攝影相簿留言板
最愛收藏分類標籤
暱稱: Type
註冊: 2002-11-30
發表: 7895
來自: vovo2000.com
V幣: 867875
@ 1F
如何申請 https HSTS Preload List,讓瀏覽器看我的網站一律走 HTTPS 2017-02-06 18:52

如何申請 https HSTS Preload List,讓瀏覽器看我的網站一律走 HTTPS



HSTS preload 原理簡單說就是:
你在「瀏覽器」打: example.com ,瀏覽器一律走 443 TLS HTTPS,沒有例外,縱使你指定 URL 為 "http" prefix ,瀏覽器仍強制走 https。 在 HSTS max-age 過期之前一律是這樣。

你會看到這個頁面,我相信你的網站已經是 "https (TLS 1.1/1.2+)" enabled;並且初步瞭解 HTTP Strict Transport Security (HSTS)
所以其他的解釋都先略過,直接講重點。




Q1: 如何申請 HSTS Preload List?



Ans1:
請使用此網站 (Google 相關)
=> https://hstspreload.org/

(1.1) 前提是 Non-SSL/TLS-HTTP 80 設定好 301 rewrite
(1.2) 並且所有 sub-domain / nested subdomain 都要支援
(1.3) 設定好 SSL/TLS 443 HTTPS Header Strict-Transport-Security Headers

如果通過 hstspreload.org 的檢查,會出現可以 submit 的頁面
此時打個勾,按確認即可!




Q2: 開發過程中如果出包,如何清除瀏覽器 HSTS cache?



Ans2:
請參考此網站
http://classically.me/blogs/how-clear-hsts-settings-major-browsers
當然只能清自己的,所以務必小心!



Q3: 是否有 HSTS preload 清單?



Ans3: 有的,目前 2017/02/06 約有兩萬多筆,forced-https

https://www.chromium.org/hsts
https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json




Q4: 常見的錯誤? 其他 https HSTS 提示補充?



Ans4:
因為要 include all sub domains,要注意下列事項

(4.1) 注意 DNS CNAME,假設你有把 Google G Suite 指向類似 docs.example.com --> ghs.google.com

可能要把 CNAME 改成 DNS A or DNS AAAA,
然後 server side script (your js/php/python/asp/cgi script)
或 rewrite rules 再把動態 rewrite 301 到 ghs.google.com


(4.2) HSTS Preload 的完整寫法 for Apache 2 httpd,最後一個欄位「不用分號」

代碼:

$ a2enable headers

$ vim <your SSL site config path>

    <IfModule mod_headers.c>
        Header always set Strict-Transport-Security "max-age=31536000; includeSubdomains; preload"
    </IfModule>


$ service apache2 restart



(4.3) 部分 SSL/TLS certificate 購買時又分的很細(www only vs. all subdomain),
所以如果你有非 WWW 的 subdomain ,
除了 (4.1) 之外,也要先檢查一下你買了什麼樣的 SSL/TLS 憑證服務。

(4.4) 剛開始先把 max-age 設定小一點 (e.g. 1),等所有 subdomain 都完整測過,
再把 max-age 設定為 180 天以上!

31536000 / 86400 = 365 天

15552000 / 86400 = 180 天





代碼:


$ whois hstspreload.org

Domain Name: HSTSPRELOAD.ORG
Domain ID: D188554067-LROR
WHOIS Server:
Referral URL: http://www.markmonitor.com
Updated Date: 2016-11-15T23:49:33Z
Creation Date: 2016-05-13T22:22:58Z
Registry Expiry Date: 2017-05-13T22:22:58Z
Sponsoring Registrar: MarkMonitor Inc.
Sponsoring Registrar IANA ID: 292
Domain Status: clientDeleteProhibited https://icann.org/epp
Domain Status: clientTransferProhibited https://icann.org/epp
Domain Status: clientUpdateProhibited https://icann.org/epp
Registrant ID: mmr-87489
Registrant Name: DNS Admin

Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6502530000
Registrant Phone Ext:
Registrant Fax: +1.6502530001
Registrant Fax Ext:
Registrant Email: dns-admin@google.com

Admin ID: mmr-87489
Admin Name: DNS Admin
Admin Organization: Google Inc.
Admin Street: 1600 Amphitheatre Parkway
Admin City: Mountain View
Admin State/Province: CA
Admin Postal Code: 94043
Admin Country: US
Admin Phone: +1.6502530000
Admin Phone Ext:
Admin Fax: +1.6502530001
Admin Fax Ext:
Admin Email: dns-admin@google.com

Tech ID: mmr-87489
Tech Name: DNS Admin
Tech Organization: Google Inc.
Tech Street: 1600 Amphitheatre Parkway
Tech City: Mountain View
Tech State/Province: CA
Tech Postal Code: 94043
Tech Country: US
Tech Phone: +1.6502530000
Tech Phone Ext:
Tech Fax: +1.6502530001
Tech Fax Ext:
Tech Email: dns-admin@google.com
Name Server: NS-CLOUD-E1.GOOGLEDOMAINS.COM
Name Server: NS-CLOUD-E2.GOOGLEDOMAINS.COM
Name Server: NS-CLOUD-E3.GOOGLEDOMAINS.COM
Name Server: NS-CLOUD-E4.GOOGLEDOMAINS.COM
DNSSEC: unsigned
>>> Last update of WHOIS database: 2017-02-05T19:28:14Z <<<

https-hsts-preload-example.jpg
https-hsts-preload-example.jpg



________________

美術插畫設計案子報價系統 v0.1 Beta 版
爪哇禾雀















資訊相關理論、技術、管理、應用、產品等
發表新主題 回覆主題
一般討論
發表:美術繪圖、插畫設計
新聞、活動、評論、公告
最近 10 則討論
台灣離島【蘭嶼】青空彩晨星語~
By yeasonth R:0 V:115 08/09
魯保羅變裝皇后秀「紙娃娃」
By Type R:0 V:128 08/05
父愛如山 2017
By Type R:0 V:113 08/05
台灣離島【蘭嶼】就是美不勝收~
By yeasonth R:0 V:114 08/05
I love my Dad (2017)
By Type R:0 V:230 08/05
最近 10 則討論
紫色頭髮的女孩
By 貓鼠麵 R:0 V:6 08/18
吸血鬼女孩
By 貓鼠麵 R:0 V:17 08/18
角色設定:大臣:國老
By 杜宜庭 R:2 V:89 08/18
我做的家具
By 咪咪 R:0 V:27 08/18
boyboy
By 咪咪 R:0 V:29 08/18
側-臉-
By 天城風 R:0 V:32 08/18
綠色頭髮的少女
By 貓鼠麵 R:0 V:31 08/18
Katarina vs Nami
By 囧大大 R:0 V:36 08/17
Sketch
By 囧大大 R:0 V:40 08/17
最近 10 則討論
2018亞洲插畫年度大賞
By Medibang R:0 H:136 08/14