全站 HTTPS 就必定安全了嗎？

隨着網絡技術手段不斷地更新迭代，互聯網安全對於企業和我的的重要性都愈來愈高。所以愈來愈多的服務商都開始偏向爲用戶提供更安全的在線內容訪問。

中間人攻擊

爲了保障網站內容安全，誕生了很多加密方式。目前應用最爲普遍的加密方式是 TLS（安全傳輸層協議），它脫胎自廣爲人知的 SSL（安全套接字協議），並和 SSL 一塊兒組成了 SSL/TLS 加密，可讓 HTTP 變身爲 HTTPS，爲用戶和網站提供安全的數據傳輸。

正常來說，使用 HTTPS 和可靠的 SSL/TLS 證書訪問網站時，加密的傳輸是安全的。可是由於早期認證機構容易被黑客攻擊，進而致使證書安全性漏洞，同時一些常規使用習慣也可能形成安全漏洞，好比咱們在輸入網址時，並不會輸入包含加密協議 https:// 的完整 URL，而是隻輸入網站網址，而瀏覽器的自動訪問則會訪問不安全的 http://。這些存在的漏洞爲中間人攻擊提供了便利。

中間人攻擊表面上看是系統 A 與系統 B 創建加密鏈接，可是實際上數據流會被第三方重定向，讓加密鏈接從系統 A 運行到系統 C，而後才重定向到系統 B。這讓系統 C 的控制者（一般是攻擊者）能夠完整地查看、記錄以及操縱數據流量。攻擊者還經過這種方式將系統 C 做爲網絡服務器呈現給系統 A，並給用戶端呈現錯誤的瀏覽頁面。這種攻擊在銀行或者電商行業會直接影響用戶在線交易，給用戶形成嚴重損失。

除去證書自己的問題，一些粗枝大葉的使用習慣也很容易形成安全漏洞。好比如今不少公共場合都會提供公共 WLAN，咱們已經習慣連接並使用，不會去檢查這個 Internet 是誰提供的。黑客能夠將本身的計算機設置爲熱點，並輕易得到連接這個熱點的用戶的所有數據流，若是正好有人用這個網絡連接過銀行等業務，那黑客很容易經過這個獲取用戶網銀密碼，形成財務損失。。

所以，互聯網工程任務組（IETF）在 2012 年提出了針對該安全性問題的一種解決方案：在 RFC 6797 中指定了 HTTPS 擴展的 HTTP 嚴格傳輸安全協議（HSTS）。

什麼是 HSTS

HSTS（HTTP Strict Transport Security，HTTP 嚴格傳輸安全協議）是一種安全機制，旨在保護 HTTPS 鏈接免受中間人攻擊和會話劫持。它讓網站管理員在 HTTPS 的基礎上，經過 HTTP 頭信息向瀏覽器發送信號，在一個時間段內以 SSL / TLS 加密的形式檢索網站。

這個 HTTP 頭信息在服務端顯示爲：Strict-Transport-Security，它包含強制性的信息 max-age，也包含了可選參數 includeSubDomains 和 preload 方便配置：

• max-age： 指 HSTS 功能生效的時間，以秒爲單位。例如 31536000 秒錶明一年。
• includeSubDomains： 若是指定，則表示域名（例如：upyun.com）對應的每一個子域名（例如：www.upyun.com 或 123.example.upyun.com），瀏覽器在訪問時也都會強制採用 HTTPS 進行訪問。
• preload： 若是指定，則表示此域名贊成申請加入由 Google 發起的 Preload List，申請地址[https://hstspreload.org/]。

在服務端配置完成頭信息後，當互聯網用戶首次訪問網站時，瀏覽器將從 Strict-Transport-Security 頭信息中獲取如下指令：

• 指向相應網站的全部未加密連接都必須被加密連接覆蓋（http:// 到 https://）。
• 若是不能保證鏈接的安全性（例如：證書無效），則必須終止該鏈接。同時向用戶顯示錯誤消息。

如何開啓 HSTS

若是是對安全性要求較高的網站，通常都會選擇開啓 HSTS 。

可是 HSTS 並非隨意開啓的，它須要支持它的瀏覽器。目前市場上支持 HSTS 的瀏覽器以下：（對於那些不支持的瀏覽器，會忽略此響應頭，對用戶的訪問無影響，能夠不用擔憂）

而具體開啓 HSTS 則能夠登錄又拍雲控制檯，依次進入：服務 > 功能配置 > HTTPS > HSTS，點擊管理進行配置開啓。

又拍雲自 17 年起就已經支持配置 HSTS，配置步驟簡單，操做方便。可是這裏須要特別提醒的是，若是有參數設置不當可能會致使網站沒法訪問，你們若是遇到問題能夠直接聯繫咱們的客服小姐姐哦~

HTTPS 網站的預加載列表

固然光靠 HSTS 並非萬無一失的，由於 HSTS 的響應頭是由服務器返回的，須要用戶先發起訪問才能獲取到這個響應頭。獲取響應頭後纔會進行強制 HTTPS 訪問操做。這也就意味着每次訪問仍是容易受到攻擊風險。

爲儘量的減少這種風險，目前市面上全部的瀏覽器都加入了 Google 提供的 HSTS Preload List。只要加入到這個列表中，全部的經過瀏覽器訪問請求都會強制走 HTTPS，在很大程度上能夠杜絕「第一次」訪問的劫持，最大限度地提升 HTTPS 訪問的安全性。

若是你須要將本身的網站加入 HSTS Preload ，那必須確保符合以下基本要求：

• 全部網站頁面都必須使用有效的 SSL 證書
• HTTP URL 必須定向到同一主機的 HTTPS URL
• 全部子域（包括 www 子域）必須支持 HTTPS 且可用
• 必須經過具備如下參數的域名來傳遞 HSTS 頭信息：

• 網站須要始終知足上訴要求，不然會被自動刪除

在信息安全愈來愈重要的今天，及時更新網站的安全手段，維護網站和用戶的安全，避免因一時的疏忽形成損失纔是最好的選擇。

推薦閱讀

網騙欺詐？網絡裸奔？都是由於 HTTP？

延時！保新！2 年續期證書來啦~