网站部署SSL并提交Preload List加入HSTS

“皮师傅”这个博客站点也是过了很多年重新建立的网站,个人没什么技术分享,也没多少干货,也只是当日常记事以及网络上生活中发现的一些好玩有意思的东西搬过来存档或分享。最初接触网站还是08年,那个时候拿个诺基亚的按键直板机然后做wap自助建站,使用的昂贵的柯林程序,同时也接触过当时的六感,康源等等,开始是用的自助建站平台提供的二级/三级域名,后面又注册了免费的tk域名,毕竟当时还在上学,没有什么经济来源,也玩得不亦乐乎

博客建立之后,发现目前绝大多数站点都有了小绿锁(HTTPS),我这菜鸡也知道HTTPS就是使用SSL证书加密的HTTP协议,作用无外乎防劫持等安全性因素,还发现HTTP/2.0相对于HTTP/1.1性能还是有所提升,HTTP/2也需要网站部署HTTPS,这里我使用的Let's Encrypt签发的免费SSL,网上也有AlphaSSL的免费一年的泛域名证书,没去折腾。

既然部署了HTTPS,那就按照相对严格的方式去部署,站点HTTPS状态检测可以在MySSL网站中查看,输入自己的域名可以检测站点HTTPS状态、证书信息、兼容性测试以及安全性测试,对于不安全项均提供解决方案;总结以下几点可以达到高标准部署HTTPS网站的目的:

  • 获得证书并将网站开启HTTPS
  • 通过重定向将http链接全部跳转到https链接
  • Web服务器配置文件中开启HTTP/2.0
  • Web服务器配置文件中取消TLSv1.0支持(否则报PCI DSS不达标)
  • 启用TLS 1.3
  • 加入HSTS (Preload List)

前面几个倒是web服务器中都可以操作,测试过提交HSTS即可在MySSL检测中获得A+评级(这也是MySSL官方说法),我就着重记录了一下添加HSTS。

按照Preload List文档说的在nginx中增加header之后Preload List始终报错,然后用了个简单粗暴的方法,就是用CDN服务商直接设置,UPYUN和Cloudflare就可以,操作也很简单。如下设置即可:
先设置HSTS如下

Cloudflare_ssl_hsts.png

同时设置最低支持TLS版本为1.1 这样既能保证兼容性又不会报PCI DSS不合规,顺便启用TLS 1.3 如下

Cloudflare_ssl_tls.png

开启HSTS之后,别忘了去Preload List提交域名,提交之后会进入审核阶段;

preload_list_check.png

最后看看MySSL中的检测结果:

ssl_check_1.png

ssl_check_2.png

本文链接:

https://www.pishifu.org/archives/20190805/46.html

版权声明:

本站所有未注明转载的文章均为原创,如需转载请以【本文标题+本文链接】的形式注明出处;若本站任何文章中所涉及的内容或资源侵犯了您的版权,请第一时间联系予以删除,谢谢!

1 + 9 =
快来做第一个评论的人吧~