SSL A+ 配置的一个注意问题(HSTS配置)

1. 前言

前面我们提供了Apache、Nginx下的配置教程。但是在SSL配置中有一个问题需要注意!

 2. Apache、Nginx下HSTS代码

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Header always set X-Frame-Options DENY

Header always set X-Content-Type-Options nosniff

Nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload"; 

3. 注意的问题

那就是HSTS的问题:

优势:开启HSTS后,安全评分可以达到A+

弊端:开启HSTS后,很长时间就不能换回HTTP了,同时需要全站开启HTTPS 

4. 说明

开启HSTS 配置,这个对评分影响也比较大,开启这个需要全站开启 HTTPS ,同时也有弊端,开启 HSTS 后,很长时间就不能换回 HTTP 了,max-age后面的数字即表示时间 单位:秒 (15768000 seconds = 6 months)(我的教程中,这个时间我是缩短了一下的,大概两个多月的样子) 

5. 结束

这个问题就各取所需了,有些人可能一直开https,这也是全民上ssl的一个趋势吧!如果一直开上ssl且并不打算换回http,就不用担心这些问题了!但是如果你已经在用很久的http,又想尝试https,可以在配置的时候就考虑不要加上HSTS配置!

20171005155437.jpg

标签: SSL, SSL A+

添加新评论


Warning: in_array() expects parameter 2 to be array, null given in /www/users/HK1590886/WEB/usr/plugins/TopLamuLeimu/Plugin.php on line 85