从今天开始,土木坛子开启HSTS(HTTP Strict Transport Security)严格强制HTTPS SSL功能。
我一直支持HTTPS,在启用全站HTTPS后,用301的方式将所有HTTP访问请求自动转成HTTPS加密。但这种服务器端301的方式,并不能阻止浏览器到服务器之间HTTP链接被截持,因为此时的通信,并不是HTTPS。
启用HSTS协议后,在初次访问HTTPS后,用户在浏览器中再输入HTTP链接,浏览器本身会将HTTP链接自动转成HTTPS,会更加全面保护访问者的隐私,例如,没有人能在网络上截取你访问过土木坛子上关于艳照门的博文。
显然,使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。
这个功能实际意义并不是特别大,它相当于解决这么一个问题,以前需服务器端301跳转HTTP到HTTPS实现的功能现在直接在浏览器端自动完成,代替人工输入HTTPS链接——当然也可以用HTTPS Everywhere插件实现。
对于土木坛子倒是有一点小实用,如果你身在某国,你现在支持HSTS协议的浏览器里(Chrome, Firefox, Safari, IE 11+, Opera),直接输入 tumutanzi.com 或 www.tumutanzi.com,能实现访问了,浏览器自动将链接变成 https://tumutanzi.com,而在今天之前是不行的,tumutanzi.com 在到达服务器之前就已经被某墙截断通信。
其实我倒不是主要在乎这个好处,而是出于对新技术的好奇,有了新技术又能轻松支持,为什么不支持呢?相反,对于老旧的技术,比如Windows XP下的IE浏览器不支持SNI,本网站现在就不支持访问。
HTTPS现在普及得越来越快,百度支持收录HTTPS网站后,现在百度里搜索“土木坛子”,也能打得开结果了。原来不支持HTTPS的FeedBurner也支持烧录HTTPS的RSS Feed了(似乎Google还没有忘记FeedBurner这个项目,但谁知道它哪天会杀了它呢?FeedSky域名都打不开了),比如:https://feeds.feedburner.com/tumutanzi 又可以更新了。
我实现HSTS的方法由CloudFlare提供——CloudFlare不仅仅提供CDN功能,在设置中直接开启即可。使用Apache或者Nginx服务器的朋友随便Google一下应该很容易配置好。
配置好HSTS后,还可申请加入浏览器HSTS Preload List [Mozilla, Chromium],申请地址:https://hstspreload.appspot.com/,申请成功后(2015年7月28日更新:土木坛子域名成功被收录,更新2015年10月16日:Chrome更新到46版本后,土木坛子这个域名就正式开始内置强制HTTPS加密了),全球所有主流浏览器都会内嵌你的域名(Chrome, Firefox, Safari, IE 11+等),解决第一次HTTP的问题,你的域名自始至终都将自动使用HTTPS协议。
如果没有HSTS列表的话,就只能借助HTTPS Everywhere List了,已有好心人把土木坛子的域名 tumutanzi.com 收录到HTTPS Everywhere List里面了。
“网站开启HSTS严格HTTPS功能并加入HSTS Preload List”上的67条回复
你居然连HSTS preload也申靖了….
我记得我似乎提交过至: https://hstspreload.appspot.com/ 但不知会不会审批通过。
http://www.leonax.net 已经内置进入了。
不知为什么,现在一直安卓手机访问我的博客都出现警告证书不安全的提示,但是在IE\Chrome\Firefox上没有问题,我也与MT客服人员沟通过,他说我的证书完全导入完全正确,用以下工具测试也是完全没有问题的。
https://www.sslshopper.com/ssl-checker.html#hostname=jinbo123.com
谁能帮忙?
以前我也试过,当时是WORDPRESS被挂马了,我重新删了WORDPRESS,再次安装WORDPRESS后就可以了,你试一下检查WORDPRESS有没有被挂马;这只是我的一个猜测.
应该不会,因为博客也是刚全新安装的,只是用了原来的上传附件而已,查看代码也没有任何发现。
安卓chrome39(刚换回去)显示的是只有你的positivessl域名证书和comodo的DV证书,没有那个comodo根证书。但win下面就没问题,也许安卓不会自动补全?
现在帮忙试一下,应该不会再有警示了,之前是因为根证书没有补上。
我和你遇到同一个问题,解决方法也一样,直接将xx.ca-bundle追加到xx.crt后面就行了
Android 4.0.4 上,Opera Mobile、火狐没有问题,Google Chrome 和自带的浏览器报证书的 CA 不被信任。猜测原因是有问题的浏览器并不直接信任所提供证书链的最顶层证书。你提供更完整的证书链试试。
问题已解决,原来我当初只是导入了基本证书,而中间证书根本没有导入。
想起来一件事,我的MT上面,TUMUTANZI.COM 不是主域名,即账户当时是以其它域名为主域名的。会不会这个也有关系?
问题已解决,原来我当初只是导入了基本证书,而中间证书根本没有导入,详细可以看我博客:https://www.jinbo123.com/6016.html
恭喜找到原因和解决办法。奇怪,我当时怎么没有这么复杂。
也许你现在启用CloudFlare的CDN没有问题了。
是的,我又准备启用CloudFlare的CDN,但愿成功。
Good luck.
做这个是不是要收费的?
免费也可以的。
有空研究下
你这边评论头像都挂了。
是坛子故意的。
我在你面前是不是透明的?
why?
没有办法,现在只能采用官方的头像。原谅我吧,这个网站只为自由网络而存在了~
great freedom
我已经在 https://hstspreload.appspot.com/ 提交了你的域名。如果审核通过的话,在新版本的浏览器里,即使是第一次访问,也会自动使用 HTTPS 访问了。
感谢。
兄弟,能否帮我看看我的站点呢?我的站点,也做了hsts的设置,也生效了。在apache的配置文件中,也加入了对https的重定向。 但是在申请谷歌hsts的预加载列表时,死活就通不过。 提示信息如下:
Error: HTTP redirects to www first`http://butian518.com` (HTTP) should immediately redirect to `https://butian518.com` (HTTPS) before adding the www subdomain. Right now, the first redirect is to `https://www.butian518.com/index.php`. The extra redirect is required to ensure that any browser which supports HSTS will record the HSTS entry for the top level domain, not just the subdomain.
评论怎么没有显示出来呢?
被误判了,不过,我通常会人工看一下,把误判的评论捡出来。
你现在博客不启用301定向了吗?
301重定向HTTP到HTTPS一直都会有的。
301是让第一次访问的访客重定向到HTTPS(只是对于土木坛子这个域名,在国内无法实现),HSTS是为了以后再次访问时,输入HTTP链接时,浏览器本身自动转换成HTTPS——因为人都是懒的,不太愿意写HTTPS,连HTTP都不会输入的,对吧。
楼上有朋友帮我把我的域名加入 https://hstspreload.appspot.com/ 的列表里,如果申请通过,将来,Chrome浏览器会内置我的域名,主动自动将我的域名加上HTTPS,那样,连第一次HTTPS连接都解决了(Chrome浏览器可以,IE和Firefox似乎也包括这个列表)。
https://www.whynopadlock.com/ 可以很方便的查看 HTTPS有没有问题
ssllabs.com 测试结果就好。
这是个新东西,要学习一下。
协议倒不是很新,只是支持的网站不多吧。我希望我能进入Preload HTTPS列表就好了,全球所有的主流浏览器倒时都包含这个列表。
技术更加精进。果然是有需求才有进步。
都是被这次DDOS攻击促使的。
越来越先进了,不过, https 没有抗 D 功能吧?
HTTPS和DDOS是两回事。我只是喜欢HTTPS而已,所以就用上了最严格的HTTPS,争取进入你的浏览器的源代码里~
这次我是通过百度跳转进来的
还可以试试直接输入域名 tumutanzi.com 现在应该也能进入了(我假设你在国内,原来不能这样操作)。
头像使用cn.gravatar.com也好啊。看着一个叉烧包,就特别纠结。不能照顾下稍微普通点的网民么?
或者是判断下,加载不了的时候,使用其他可以加载到的地址
GFW的事情,我解决不了了。
头像问题,坛子你可以做本地静态化(改wordpress代码),或者安装插件。
试过缓存到本地方法,不行: https://www.jinbo123.com/5654.html
现在看来, 0.gravatar.com 是可用的
过来看下坛子兄
都用上https了
什么时候开始土木坛子已经咩有广告了!
https://tumutanzi.com/archives/14139
我记得你前几天还说你的广告费可以支持你的网站的运营,这又是什么情况呢?
我不是说不投放广告,只是不在这个网站上投放了——同时也为了更好的视觉效果和加载速度等。
土木坛子这个博客能存活下去都已经不容易了。广告更不是首要考虑的事情——我缺钱,但不缺这点广告收入的~
头像或者用插件NIX Gravatar Cache,不过我没试过,我是听别人推荐的。
我也是自己改的代码,改法貌似和你给出的链接是一样的( http://blog.catscarlet.com/201411301868.html ),是不是文件权限或者目录权限没设置对?
不过我看了那篇文章,除了天下文章一大抄之外,没法评价……
速度还是很不错的 看你一直活得很好,我就很欣慰了
目前还没有倒下。
我也是没有办法,只能见招拆招,撑下去吧。
申请preload告诉我必须开启所有子域名的hsts,但我已开启网站就500了。谁知道怎么办?
这个确实很棒,我也申请了。谢谢介绍。
HSTS 如何实现 数据存取?
http://www.radicalresearch.co.uk/lab/hstssupercookies
还有想办法关闭它的?
http://www.ghacks.net/2015/10/16/how-to-prevent-hsts-tracking-in-firefox/
难怪呢,现在直接输入就跳到https 了,呵呵,先进啊
你如果用最新版的CHROME,浏览器内置了土木坛子的HTTPS域名,强制使用HTTPS。
不知道对SEO 有没有影响呢?
我也申请了。
只是申请了以后,撤消可能也费劲,所以,以后就只能HTTPS了。
其实影响不大,因为我选择主机的标准之一就是支持SNI SSL。
基本上,HTTPS SSL是互联网的标配了。
我的站点,也做了hsts的设置,也生效了。在apache的配置文件中,也加入了对https的重定向。 但是在申请谷歌hsts的预加载列表时,死活就通不过。 提示信息如下:
Error: HTTP redirects to www first`http://butian518.com` (HTTP) should immediately redirect to `https://butian518.com` (HTTPS) before adding the www subdomain. Right now, the first redirect is to `https://www.butian518.com/index.php`. The extra redirect is required to ensure that any browser which supports HSTS will record the HSTS entry for the top level domain, not just the subdomain.
不知博主能否帮我看看问题症结所在的~?
图片https 图床,使用哪家?咋收费的?