配置HSTS

更新时间:

通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与DCDN节点创建连接,提高安全性。

前提条件

执行该操作前,请您确保已成功配置HTTPS证书,操作方法请参见配置HTTPS证书

背景信息

HSTS(HTTP Strict Transport Security,HTTP 严格传输安全),是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。

配置HSTS后,客户端第一次使用HTTPS与DCDN节点连接时,DCDN节点通过使用响应头来告知客户端后续一段时间内访问时只能使用HTTPS访问,并阻止HTTP请求,HSTS响应头结构为:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload],参数说明如下表所示。

参数

说明

max-age

HSTS Header的过期时间,单位为秒,客户端在此时间段内强制使用HTTPS访问。

includeSubDomains

可选参数。如果包含这个参数,说明该域名及其所有子域名均开启HSTS。

preload

可选参数。当您申请将域名加入到浏览器内置列表时需要使用preload列表。

客户端会记录域名在max-age到期前强制执行HSTS策略,客户端发起HTTP请求时将被强制转换为HTTPS请求,HTTP请求将被阻止。

说明

配置HSTS后,如果客户端第一次访问时使用HTTP,此时由于HSTS策略未同步至客户端,HTTP请求将被允许,此时请求可能会被恶意拦截或者篡改,存在安全隐患。您可以通过配置HTTP强制跳转HTTPS,DCDN节点会将该HTTP请求301或302重定向到HTTPS,从而避免此安全隐患。

约束限制

  • 配置HSTS后,客户端只能使用HTTPS协议访问DCDN节点,请勿同时配置HTTPS强制跳转HTTP。

  • HSTS响应头在HTTPS访问的响应中有效,在HTTP访问的响应中无效。HSTS生效前,可以通过配置强制跳转功能实现在用户首次请求使用HTTP协议访问的情况下,能够通过301重定向的方式让客户端使用HTTPS协议发起访问。

  • HSTS策略仅对域名有效,对IP无效。

  • 由于HSTS策略在客户端生效,关闭HSTS后无法立即生效,需要执行刷新使HSTS策略在客户端下一次HTTPS请求时下发给客户端。

操作步骤

  1. 登录DCDN控制台

  2. 在左侧导航栏,单击域名管理

  3. 域名管理页面,单击目标域名对应的配置

  4. 在指定域名的左侧导航栏,单击HTTPS配置

  5. HSTS区域,打开HSTS开关,同时配置过期时间包含子域名

    • 过期时间:HSTS响应头在浏览器的缓存时间,建议填入60天。

    • 包含子域名:请谨慎开启,开启前,请确保该加速所有子域名都已开启HTTPS,否则会导致子域名自动跳转到HTTPS后无法访问。

    设置HSTS

  6. 单击确定