从今天开始，土木坛子开启HSTS（HTTP Strict Transport Security）严格强制HTTPS SSL功能。

我一直支持HTTPS，在启用全站HTTPS后，用301的方式将所有HTTP访问请求自动转成HTTPS加密。但这种服务器端301的方式，并不能阻止浏览器到服务器之间HTTP链接被截持，因为此时的通信，并不是HTTPS。

启用HSTS协议后，在初次访问HTTPS后，用户在浏览器中再输入HTTP链接，浏览器本身会将HTTP链接自动转成HTTPS，会更加全面保护访问者的隐私，例如，没有人能在网络上截取你访问过土木坛子上关于艳照门的博文。

显然，使用HSTS的前提条件有两个，用户必须在之前成功用HTTPS访问过网站，浏览器支持HSTS协议。

这个功能实际意义并不是特别大，它相当于解决这么一个问题，以前需服务器端301跳转HTTP到HTTPS实现的功能现在直接在浏览器端自动完成，代替人工输入HTTPS链接——当然也可以用HTTPS Everywhere插件实现。

对于土木坛子倒是有一点小实用，如果你身在某国，你现在支持HSTS协议的浏览器里（Chrome, Firefox, Safari, IE 11+, Opera），直接输入 tumutanzi.com 或 www.tumutanzi.com，能实现访问了，浏览器自动将链接变成 https://tumutanzi.com，而在今天之前是不行的，tumutanzi.com 在到达服务器之前就已经被某墙截断通信。

其实我倒不是主要在乎这个好处，而是出于对新技术的好奇，有了新技术又能轻松支持，为什么不支持呢？相反，对于老旧的技术，比如Windows XP下的IE浏览器不支持SNI，本网站现在就不支持访问。

HTTPS现在普及得越来越快，百度支持收录HTTPS网站后，现在百度里搜索“土木坛子”，也能打得开结果了。原来不支持HTTPS的FeedBurner也支持烧录HTTPS的RSS Feed了（似乎Google还没有忘记FeedBurner这个项目，但谁知道它哪天会杀了它呢？FeedSky域名都打不开了），比如：https://feeds.feedburner.com/tumutanzi 又可以更新了。

我实现HSTS的方法由CloudFlare提供——CloudFlare不仅仅提供CDN功能，在设置中直接开启即可。使用Apache或者Nginx服务器的朋友随便Google一下应该很容易配置好。

配置好HSTS后，还可申请加入浏览器HSTS Preload List [Mozilla, Chromium]，申请地址：https://hstspreload.appspot.com/，申请成功后（2015年7月28日更新：土木坛子域名成功被收录，更新2015年10月16日：Chrome更新到46版本后，土木坛子这个域名就正式开始内置强制HTTPS加密了），全球所有主流浏览器都会内嵌你的域名（Chrome, Firefox, Safari, IE 11+等），解决第一次HTTP的问题，你的域名自始至终都将自动使用HTTPS协议。

如果没有HSTS列表的话，就只能借助HTTPS Everywhere List了，已有好心人把土木坛子的域名 tumutanzi.com 收录到HTTPS Everywhere List里面了。