HSTS

通过开启HSTS(HTTP Strict Transport Security)功能,您可以强制客户端(例如:浏览器)使用HTTPS与边缘安全加速 ESA节点创建连接,提高安全性。

HSTS

HSTS(HTTP Strict Transport Security,HTTP 严格传输安全)是一种网站用来声明他们只能使用安全连接(HTTPS)访问的方法。

配置HSTS后,客户端第一次使用HTTPS与边缘安全加速 ESA节点连接时,边缘安全加速 ESA节点通过使用响应头Strict-Transport-Security来告知客户端后续一段时间内访问时只能使用HTTPS访问,并阻止HTTP请求,HSTS响应头结构为:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload],参数说明如下表所示。

参数

说明

max-age

HSTS Header的过期时间,单位为秒,客户端在此时间段内强制使用HTTPS访问。

includeSubDomains

可选参数。如果包含这个参数,说明该域名及其所有子域名均开启HSTS。

preload

可选参数。当您申请将域名加入到浏览器内置列表时需要使用preload列表。

注意事项

  • 在开启HSTS之前,请确保您的站点已成功配置SSL/TLS证书并开启SSL/TLS功能。详细情况请参见配置边缘证书

  • HSTS策略仅对域名有效,对IP无效。

  • 配置HSTS后,如果客户端第一次访问时使用HTTP,此时由于HSTS策略未同步至客户端,边缘安全加速 ESA节点会将该HTTP请求强制重定向到HTTPS,从而避免此安全隐患。

  • 配置HSTS后,客户端只能使用HTTPS协议访问边缘安全加速 ESA节点,请勿同时配置HTTPS强制跳转HTTP。

  • 由于HSTS策略在客户端生效,关闭HSTS后无法立即生效,需要执行刷新使HSTS策略在客户端下一次HTTPS请求时下发给客户端。

开启HSTS

  1. 登录ESA控制台

  2. 在左侧导航栏,单击站点管理

  3. 站点管理页面,单击目标站点名称,或对应站点操作列的详情

  4. 在左侧导航栏,选择SSL/TLS > 边缘证书

  5. HSTS区域,点击配置,打开状态开关,然后单击确认

    image