作为 HTTPS 的骨灰粉，怎么可以不加入 HSTS 预载入列表

HSTS 预载入列表

但是，这就够了么？如果一个用户从来没有以 HTTPS 方式访问过我们的网站呢，那显然就没有机会得到 HSTS 响应头，从而还是有可能以 HTTP 的方式进行首次访问——虽然我们已经做了很多自动和强制的引导，但是总还稍有缺憾？

所以，追求完美人们，又提出了一个 HSTS 预载入列表 （ preload list ） （友情提示，请自备梯子）。

谷歌在浏览器安全方面总是走在前面，因此它维护了一个预载入列表给 Chrome 使用，这个列表会硬编码到 Chrome 浏览器中。后来，Firefox、Safari、 IE 11 和 Edge 一想，得了，咱也别自己弄一个了，都采用这个列表吧。所以，各大浏览器都支持同一个列表了。

如果要想把自己的域名加进这个列表，需要满足以下条件：

• 有效的证书（如果使用 SHA-1 证书，必须是 2016 年前就会过期的）；
• 将所有 HTTP 流量重定向到 HTTPS；
• 确保所有子域名都启用了 HTTPS，特别是 www 子域；
• 输出 HSTS 响应头：
  • max-age 至少需要 18 周（10886400 秒），其实在 ssllabs 的测试里面建议更长一些；
  • 必须指定 includeSubdomains 参数；
  • 必须指定 preload 参数；

HSTS 响应头范例：

Strict-Transport-Security: max-age=10886400; includeSubDomains; preload

注意，提交的申请并不是自动处理的，人工处理也许需要一周到几周，你可以在这个表单提交查询看看是否列入了。或者在你的 Chrome 浏览器中访问 chrome://net-internals/#hsts 查询是否列入。一般来说，即便你已经列入到这个列表，但是依旧需要几个月才能逐渐从 Chrome 的 canary 更新通道更新到 dev 、beta 等通道，直到最后的 stable 通道。

郑重警示：如果你并不能确定你的网站从此以后一直使用 HTTPS，那还是不要加入的好。因为，加入后很难撤销，你可以要求撤销，但是这个数据重新更新到稳定版的 Chrome 同样需要几个月，而别的浏览器是如何处理这个撤销数据的，则无法保证。

换句话说，只有 HTTPS 骨灰粉才应该考虑加入。

我们就是 HTTPS 骨灰粉！

任性的站长当然是 HTTPS 骨灰粉了，虽然“一入宫门深似海”，将来 HTTPS 会不会和 L2TP、PPTP 一样被限制也未可知，但是这么有 BIG 的事情怎么可以不做呢？

上个月15号，我修改了符合申请条件的 HTST 响应头，然后提交了申请。

今天晚上突然心血来潮，想着看看是否批准下来了：

哈哈，通过了！

然后马上去 Chrome 里面查询——没有……好吧，我用的是稳定版的 Chrome。去下载 canary 通道的 Chrome 看看。安装后马上查询一下：

果然列入了 canary 通道的 Chrome 里面！第一次在这个新开封的浏览器里面访问 linux.cn，马上就变成绿色的 https://linux.cn ！

去查询一下 Chrome 的代码看看：

从现在的数据看，列表中总共才 4630 个域名，其中 .cn 的才 8 个。怎么样，你要不要也加入进来？

本文转载来自 Linux 中国: https://github.com/Linux-CN/archive