HSTS設定-Qualys SSL Labs從A到A+-SSL安全之2
接續上次如何在Qualys SSL Labs取得Grade A-SSL安全之1的文章,後來又搜尋了一下,要提升到A+,就是要啟用HSTS,而且提交到HSTS Preload List。不過,看到一篇A+ Qualys with HAProxy文章講得挺有趣的,其實A+和A評級實際上是相同的,+只是表明您以安全的名義付出了額外的努力!呃,好吧,那我就為這+的爽度,付出額外的努力吧。
檢查HSTS
到HSTS Preload提交網址,檢查有哪些問題。(因為我sunho.net.tw已提交通過了,我改用其它網址來作示範),提交後出現兩個問題,一個是No HSTS header,一個是HTTP redirects to www first。
解決問題
上述問題原因講的很清楚,一個是要求加上HSTS標題,一個是要求要強制使用HTTPS。所以編輯htaccess檔案,加入下述代碼:
<IfModule mod_rewrite.c>
RewriteCond %{HTTPS} !=on
RewriteRule ^(.*) https://%{SERVER_NAME}/$1 [R,L]
</IfModule>
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" env=HTTPS
</IfModule>重新提交HSTS Preload List
如果都已check通過,就把勾選打勾,submit送出就好。送出後不會轉頁,下方會顯示SUCCESS的字樣,告知正在等待加入HSTS Preload List,也沒說要等多久。
後記
過幾天再去HSTS check就會發現已preload,去Qualys SSL Labs也會看到變成A+。記錄一下HSTS的功能:HSTS(HTTP 嚴格傳輸安全):一旦出現某個響應標頭,HSTS 就會強制瀏覽器始終使用 HTTPS。這對於緩解各種 SSL 剝離攻擊非常有用,並且還可以防止對 301 客戶端從 HTTP 到 HTTPS 的持續需求。
