我刚刚检查了SSL 服务器测试是否在我的服务器上正确实施了 SSL 证书。我得到了一个档次的一个在他们的排名,但你可以得到一个A +,如果你已经激活HSTS。经过一番搜索,我发现 Google 可能会将 HSTS 视为排名因素。因此,它似乎与 SEO 相关。在实施 HSTS 之前,我有一些问题。
问题 1
如果某些外部 javascript 加载例如我网站上的 http(而不是 https)上的图像,会发生什么情况?HSTS 会阻止整个页面加载还是只阻止特定的“不安全”内容?
问题2
目前(没有 HSTS),如果资源是通过 http 加载的,我会收到“混合内容”警告。如果激活 HSTS,“混合内容”是否真的存在?
在我的Plesk web管理版我只是激活HSTS我的主要领域www.domain.tld有
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
ssllabs.com上的测试表明一切正常。问题是我的子域 ( subdomain.domain.tld)。如果我在 ssllabs 上测试我的子域,它会说没有激活 HSTS。
我应该包括标题吗
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
在我的子域上,还是在我的主域上实现就足够了?
我认为通过添加includeSubDomains不需要在子域上显式添加它。