通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与DCDN节点创建连接,提高安全性。
前提条件
执行该操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书。
背景信息
HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。
配置HSTS后,客户端第一次使用HTTPS与DCDN节点连接时,DCDN节点通过使用响应头来告知客户端后续一段时间内访问时只能使用HTTPS访问,并阻止HTTP请求,HSTS响应头结构为:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]
,参数说明如下表所示。
参数 | 说明 |
max-age | HSTS Header的过期时间,单位为秒,客户端在此时间段内强制使用HTTPS访问。 |
includeSubDomains | 可选参数。如果包含这个参数,说明该域名及其所有子域名均开启HSTS。 |
preload | 可选参数。当您申请将域名加入到浏览器内置列表时需要使用preload列表。 |
客户端会记录域名在max-age到期前强制执行HSTS策略,客户端发起HTTP请求时将被强制转换为HTTPS请求,HTTP请求将被阻止。
配置HSTS后,如果客户端第一次访问时使用HTTP,此时由于HSTS策略未同步至客户端,HTTP请求将被允许,此时请求可能会被恶意拦截或者篡改,存在安全隐患。您可以通过配置HTTP强制跳转HTTPS,DCDN节点会将该HTTP请求301或302重定向到HTTPS,从而避免此安全隐患。
约束限制
配置HSTS后,客户端只能使用HTTPS协议访问DCDN节点,请勿同时配置HTTPS强制跳转HTTP。
HSTS响应头在HTTPS访问的响应中有效,在HTTP访问的响应中无效。HSTS生效前,可以通过配置强制跳转功能实现在用户首次请求使用HTTP协议访问的情况下,能够通过301重定向的方式让客户端使用HTTPS协议发起访问。
HSTS策略仅对域名有效,对IP无效。
由于HSTS策略在客户端生效,关闭HSTS后无法立即生效,需要执行刷新使HSTS策略在客户端下一次HTTPS请求时下发给客户端。
操作步骤
登录DCDN控制台。
在左侧导航栏,单击域名管理。
在域名管理页面,单击目标域名对应的配置。
在指定域名的左侧导航栏,单击HTTPS配置。
在HSTS区域,打开HSTS开关,同时配置过期时间和包含子域名。
过期时间:HSTS响应头在浏览器的缓存时间,建议填入60天。
包含子域名:请谨慎开启,开启前,请确保该加速所有子域名都已开启HTTPS,否则会导致子域名自动跳转到HTTPS后无法访问。
单击确定。