前几天,一直在为我网站的安全证书发愁,老是没有绿锁,只有一把黑锁,然后在我的误打误撞下弄好了,证书等级也A+啦,来给大家分享一下我的喜悦和方法
SSL/TSL安全评级:https://myssl.com/
HSTS简介
HSTS的作用是强制客户端(如浏览器)使用HTTPS与服务器创建连接。服务器开启HSTS的方法是,当客户端通过HTTPS发送请求时,在服务器返回的超文本传输协议(HTTP)响应头中包含非严格传输时设置的HSTS细分无效。
例如,https://example.com/ 的响应头包含Strict-Transport-Security:max-age = 31536000; includeSubDomains。这意味着两点:
在接下来的31536000sec(即一年)中,浏览器向example.com另一个子域名发送HTTP请求时,必须采用HTTPS来发起连接。例如,用户点击超链接或在地址栏输入http:// www.example.com/ ,浏览器正确自动将http转写成https,然后直接向https://www.example.com/ 发送请求。
在接下来的一年中,如果example.com服务器发送的TLS证书无效,用户不能忽略浏览器警告继续访问网站。
来源:百度百科
Nginx配置
编辑Nginx配置文件(如:/usr/local/nginx/conf/nginx.conf)将下面的行添加到您的HTTPS配置的服务器中
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";配置完成后重启Nginx
因为我是Nginx系统,所以就只专研了关于Nginx的,宝塔面板可以直接傻瓜式修改,如果你弄了后没有A+,F12检查有没有引用非Htts资源,删除后就有A+辽,前提是所有的配置都没问题
Apache配置请移步:https://qsh5.cn/1415.html
版权属于:奥秘Sir(除特别注明外)
本文链接:https://blog.say521.cn/archives/274.html
本站文章采用 知识共享署名4.0 国际许可协议进行许可,请在转载时注明出处及本声明!
虽然CloudFlare可以一键开启HSTS,个人依旧不敢作死开启HSTS,因为自己在IE7测试了一下发现根本不行
而且如果证书不完全配置时就有访客访问就是一年时间小黑屋,这就不是那么好解决的了。其实强制HTTPS我觉得足够了
开HSTS有什么禁忌嘛?我也不是特别清楚,我只知道开了HSTS,网站等级就可以A+,见识短浅,孤陋寡闻,勿喷(´இ皿இ`)
前面少了一个 h 字符吧,应该是header,请博主及时修改哦!
没有吧,把这个直接插入第6行,完全没问题诶
,可能是我代码高亮双行号惹的祸
哦哦,应该是,你可以重新修改下ColorLight插件的配置
我以前发的:https://blog.baoshuo.ren/archives/16.html
里面有其他的配置方法,上面没有可以看看,还有不用改nginx.conf的办法
顶
博主你好,我在我宝塔的local目录下面没找到/nginx/conf/nginx.conf想知道怎么回事,我也是nginx
宝塔-网站-进入你网站的配置-配置文件,将代码插到第6行
记住要想有A+时间至少180天哟~
好的,代码直接改