配置HSTS
通過開啟HSTS(HTTP Strict Transport Security)功能,您可以強制客戶端(例如:瀏覽器)使用HTTPS與CDN節(jié)點創(chuàng)建連接,提高安全性。
前提條件
執(zhí)行該操作前,請您確保已成功配置HTTPS證書,操作方法請參見配置HTTPS證書。
背景信息
HSTS(HTTP Strict Transport Security,HTTP 嚴格傳輸安全),是一種網(wǎng)站用來聲明他們只能使用安全連接(HTTPS)訪問的方法。
配置HSTS后,客戶端第一次使用HTTPS與CDN節(jié)點連接時,CDN節(jié)點通過使用響應頭來告知客戶端后續(xù)一段時間內訪問時只能使用HTTPS訪問,并阻止HTTP請求,HSTS響應頭結構為:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload],參數(shù)說明如下表所示。
參數(shù) | 說明 |
max-age | HSTS Header的過期時間,單位為秒,客戶端在此時間段內強制使用HTTPS訪問。 |
includeSubDomains | 可選參數(shù)。如果包含這個參數(shù),說明該域名及其所有子域名均開啟HSTS。 |
preload | 可選參數(shù)。當您申請將域名加入到瀏覽器內置列表時需要使用preload列表。 |
客戶端會記錄域名在max-age到期前強制執(zhí)行HSTS策略,客戶端發(fā)起HTTP請求時將被強制轉換為HTTPS請求,HTTP請求將被阻止。
配置HSTS后,如果客戶端第一次訪問時使用HTTP,此時由于HSTS策略未同步至客戶端,CDN節(jié)點會將該HTTP請求301重定向到HTTPS,從而避免此安全隱患。
約束限制
配置HSTS后,客戶端只能使用HTTPS協(xié)議訪問CDN節(jié)點,請勿同時配置HTTPS強制跳轉HTTP。
HSTS策略僅對域名有效,對IP無效。
由于HSTS策略在客戶端生效,關閉HSTS后無法立即生效,需要執(zhí)行刷新使HSTS策略在客戶端下一次HTTPS請求時下發(fā)給客戶端。
操作步驟
登錄CDN控制臺。
在左側導航欄,單擊域名管理。
在域名管理頁面,找到目標域名,單擊操作列的管理。
在指定域名的左側導航欄,單擊HTTPS配置。
在HSTS區(qū)域,單擊修改配置。
在HSTS設置對話框,打開HSTS開關,同時配置過期時間和包含子域名。
過期時間:HSTS響應頭在瀏覽器的緩存時間,建議填入60天。配置為0時,HSTS關閉。
包含子域名:請謹慎開啟,開啟前,請確保該加速域名的所有子域名都已開啟HTTPS,否則會導致子域名自動跳轉到HTTPS后無法訪問。
單擊確定。