SSL A+ 配置的一个注意问题(HSTS配置)
1. 前言
前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意!
2. Apache、Nginx下HSTS代码
Apache:
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
Nginx:
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";
3. 注意的问题
那就是HSTS的问题:
优势:开启HSTS后,安全评分可以达到A+
弊端:开启HSTS后,很长时间就不能换回HTTP了,同时需要全站开启HTTPS
4. 说明
开启HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS ,同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,max-age后面的数字即表示时间 单位:秒 (15768000 seconds = 6 months)(我的教程中,这个时间我是缩短了一下的,大概两个多月的样子)
5. 结束
这个问题就各取所需了,有些人可能一直开https,这也是全民上ssl的一个趋势吧!如果一直开上ssl且并不打算换回http,就不用担心这些问题了!但是如果你已经在用很久的http,又想尝试https,可以在配置的时候就考虑不要加上HSTS配置!