通過開啟HSTS(HTTP Strict Transport Security)功能,您可以強制客戶端(例如:瀏覽器)使用HTTPS與DCDN節點創建連接,提高安全性。
前提條件
執行該操作前,請您確保已成功配置HTTPS證書,操作方法請參見配置HTTPS證書。
背景信息
HSTS(HTTP Strict Transport Security,HTTP 嚴格傳輸安全),是一種網站用來聲明他們只能使用安全連接(HTTPS)訪問的方法。
配置HSTS后,客戶端第一次使用HTTPS與DCDN節點連接時,DCDN節點通過使用響應頭來告知客戶端后續一段時間內訪問時只能使用HTTPS訪問,并阻止HTTP請求,HSTS響應頭結構為:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]
,參數說明如下表所示。
參數 | 說明 |
max-age | HSTS Header的過期時間,單位為秒,客戶端在此時間段內強制使用HTTPS訪問。 |
includeSubDomains | 可選參數。如果包含這個參數,說明該域名及其所有子域名均開啟HSTS。 |
preload | 可選參數。當您申請將域名加入到瀏覽器內置列表時需要使用preload列表。 |
客戶端會記錄域名在max-age到期前強制執行HSTS策略,客戶端發起HTTP請求時將被強制轉換為HTTPS請求,HTTP請求將被阻止。
配置HSTS后,如果客戶端第一次訪問時使用HTTP,此時由于HSTS策略未同步至客戶端,HTTP請求將被允許,此時請求可能會被惡意攔截或者篡改,存在安全隱患。您可以通過配置HTTP強制跳轉HTTPS,DCDN節點會將該HTTP請求301或302重定向到HTTPS,從而避免此安全隱患。
約束限制
配置HSTS后,客戶端只能使用HTTPS協議訪問DCDN節點,請勿同時配置HTTPS強制跳轉HTTP。
HSTS響應頭在HTTPS訪問的響應中有效,在HTTP訪問的響應中無效。HSTS生效前,可以通過配置強制跳轉功能實現在用戶首次請求使用HTTP協議訪問的情況下,能夠通過301重定向的方式讓客戶端使用HTTPS協議發起訪問。
HSTS策略僅對域名有效,對IP無效。
由于HSTS策略在客戶端生效,關閉HSTS后無法立即生效,需要執行刷新使HSTS策略在客戶端下一次HTTPS請求時下發給客戶端。
操作步驟
登錄DCDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,單擊目標域名對應的配置。
在指定域名的左側導航欄,單擊HTTPS配置。
在HSTS區域,打開HSTS開關,同時配置過期時間和包含子域名。
過期時間:HSTS響應頭在瀏覽器的緩存時間,建議填入60天。
包含子域名:請謹慎開啟,開啟前,請確保該加速所有子域名都已開啟HTTPS,否則會導致子域名自動跳轉到HTTPS后無法訪問。
單擊確定。