从10分钟开始,chrome强制在我的网站的子域中使用SSL证书.
我的网站:https://www.mywebsite.com - > SSL OK OKSTALLED
子域名:http://forum.mywebsite.com - > SSL未安装
现在"chrome"强迫我的论坛进入SSL,也许是因为总是访问强制SSL的主站点,但它没有意义.在IE,Firefox和其他版本的Chrome上没有任何反应,仅在这台带有Chrome的PC上.
我没有安装扩展,也没有强制安全连接的防病毒软件,如卡巴斯基.
这取自Log:chrome:// net-internals /#events
17239: URL_REQUEST
http://forum.mywebsite.com/
Start Time: 10/24/2014 22: 14: 16,596
t = -633,892 [st = 0] + REQUEST_ALIVE [dt =?]
-> Has_upload = false
-> Is_pending = true
-> Load_flags = 3384432 (BYPASS_DATA_REDUCTION_PROXY | main_frame | MAYBE_USER_GESTURE | VERIFY_EV_CERT)
-> Load_state = 0 (IDLE)
-> Method = "GET"
-> Status = "SUCCESS"
-> Url = "http://forum.mywebsite.com/"
-> Url_chain = ["http://forum.mywebsite.com/","https://forum.mywebsite.com/"]
在来自HTTPS站点的HTTP响应中,在标头中查找HSTS.
http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
这会做你所描述的; 它可以强制父域和所有子域始终为HTTPS.
编辑:这里有更多细节,对于那些感兴趣的人.
通常,您有一个用户通过HTTP访问您的站点.如果您希望保护其连接,则可以将它们重定向到同一页面,但使用HTTPS.问题是重定向发生在网络上,在HTTP中,这是不安全的.中间人攻击可以阻止升级,并使用户陷入HTTP; 更糟糕的是,他们可能没有意识到他们受到了攻击.您可以仅使用HTTPS提供您的网站,但是在HTTP中尝试使用您网站的用户会认为您的网站已关闭,这也很糟糕.
所以HSTS(HTTP Strict-Transport-Security)就是那里的解决方案.它得到了大多数现代浏览器的支持(Chrome/Firefox,我认为Safari和IE12都有它.)旧浏览器会忽略它.
HSTS适用于每个域.一旦HSTS对yoursitehere.com有效,如果用户在浏览器中输入http://yoursitehere.com,则浏览器会执行不同的操作; 而不是使用HTTP联系yoursitehere.com,它会在访问网络之前将查询重写为HTTPS .这减轻了中间人的攻击.
有两种方法可以打开HSTS.一种是使用HTTP响应标头,必须通过HTTPS提供.另一种是通过联系浏览器公司(谷歌,苹果,Mozilla,微软),要求将其添加到"HSTS预加载列表"中,这是浏览器附带的配置文件.
如果使用响应标头打开它,则还有一个附加选项; 这应该打开多少秒?
无论采用哪种触发方法,都有一个主要选择.被问到的"includeSubDomains".如果设置了includeSubDomains,而不是仅包括yoursitehere.com ...它还包括www.yoursitehere.com,mail.yoursitehere.com,static.yoursitehere.com等.
如果不先测试一下,这是一件危险的事情.
将站点移动到HTTPS可能会突出显示混合内容错误; 有些浏览器将这些放在控制台中,有些浏览器弹出它们,但它是使用HTTP资源的HTTPS页面.如果您的网站一直支持HTTPS,则这不是问题.
同样,这也很危险,因为它是按域,而不是按路径.
因此,如果yoursitehere.com/your-application想要HSTS,但是yoursitehere.com/another-teams-application没有,那么如果一个产品/服务器全部映射到同一个域下,那么每个产品/服务器都可以强制它.
谷歌(Gmail,云端硬盘等),Twitter,Facebook,Paypal等已经使用了一段时间.
| 归档时间: |
|
| 查看次数: |
635 次 |
| 最近记录: |