标签归档:HSTS

值得记录的几件事情:DNSSEC, AdSense, Firefox

这两天有几件事情值得记录,分别如下。

开启域名DNSSEC功能

昨天收到CloudFlare的邮件,告知CloudFlare全面支持DNSSEC功能,即支持安全的DNS解析功能,可以防止网站域名解析被投毒。

作为一向支持拥抱新技术的博客网站,土木坛子第一时间就设置好托管在CloudFlare下所有域名的DNSSEC,设置方法很简单,CloudFlare有相应的参数介绍,具体也可以参考JUSTYY博主的贴子

至此,土木坛子这个表面看似简单的网站,底层几乎用上了所有目前我能接触到的高大上的技术与特征,自适应网页,域名隐私保护HTTPS SSL加密, 浏览器内嵌HSTS限制HTTPS, CloudFlare Pro CDN, 现在又加上DNSSEC(更新:2015年12月3日开始,CloudFlare全面免费支持HTTP/2协议,因此土木坛子现在也支持HTTP/2)。

全面撤下AdSense广告

土木坛子撤下Google AdSense广告有一段时间了,从今天开始,如无特殊情况,我会全面撤下我其它网站上的AdSense广告。

以前出于兴趣,投放的AdSense广告收到过一些收入,其中还有一部分捐给了我的小公益项目

可是,我发现Google的规则越来越严格,搞不清哪个地方就会碰到它的TOS条款,然后就收到Google的警告邮件,这大大限制我在网上写作的自由,现在全面撤下AdSense广告,图个自由清静——本来也没有多少广告收入。

体验Firefox iOS浏览器

从昨天开始,Mozilla推出了Firefox for iOS浏览器,第一时间我就安装了它,等待它太长时间了。虽然这些年Firefox PC浏览器不如Chrome,但Chrome毕竟不是开源浏览器,Firefox有它开源存在的意义。

现在,iPhone, iPad上也有了Firefox的版本,纵然内核依然是WebKit渲染引擎,但好歹有了正宗的Firefox浏览器。初期版本似乎UI还不错——目前也就只是一个壳,我不喜欢Chrome for iOS的笨重,当然也不喜欢它的UI——虽然比Safari要好一点点。

网站开启HSTS严格HTTPS功能并加入HSTS Preload List

HSTS-HTTPS.jpg

从今天开始,土木坛子开启HSTS(HTTP Strict Transport Security)严格强制HTTPS SSL功能。

我一直支持HTTPS,在启用全站HTTPS后,用301的方式将所有HTTP访问请求自动转成HTTPS加密。但这种服务器端301的方式,并不能阻止浏览器到服务器之间HTTP链接被截持,因为此时的通信,并不是HTTPS。

启用HSTS协议后,在初次访问HTTPS后,用户在浏览器中再输入HTTP链接,浏览器本身会将HTTP链接自动转成HTTPS,会更加全面保护访问者的隐私,例如,没有人能在网络上截取你访问过土木坛子上关于艳照门的博文。

显然,使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。

这个功能实际意义并不是特别大,它相当于解决这么一个问题,以前需服务器端301跳转HTTP到HTTPS实现的功能现在直接在浏览器端自动完成,代替人工输入HTTPS链接——当然也可以用HTTPS Everywhere插件实现。

对于土木坛子倒是有一点小实用,如果你身在某国,你现在支持HSTS协议的浏览器里(Chrome, Firefox, Safari, IE 11+, Opera),直接输入 tumutanzi.com 或 www.tumutanzi.com,能实现访问了,浏览器自动将链接变成 https://tumutanzi.com,而在今天之前是不行的,tumutanzi.com 在到达服务器之前就已经被某墙截断通信。

其实我倒不是主要在乎这个好处,而是出于对新技术的好奇,有了新技术又能轻松支持,为什么不支持呢?相反,对于老旧的技术,比如Windows XP下的IE浏览器不支持SNI,本网站现在就不支持访问。

HTTPS现在普及得越来越快,百度支持收录HTTPS网站后,现在百度里搜索“土木坛子”,也能打得开结果了。原来不支持HTTPS的FeedBurner也支持烧录HTTPS的RSS Feed了(似乎Google还没有忘记FeedBurner这个项目,但谁知道它哪天会杀了它呢?FeedSky域名都打不开了),比如:https://feeds.feedburner.com/tumutanzi 又可以更新了。

我实现HSTS的方法由CloudFlare提供——CloudFlare不仅仅提供CDN功能,在设置中直接开启即可。使用Apache或者Nginx服务器的朋友随便Google一下应该很容易配置好。

配置好HSTS后,还可申请加入浏览器HSTS Preload List [Mozilla, Chromium],申请地址:https://hstspreload.appspot.com/,申请成功后(2015年7月28日更新:土木坛子域名成功被收录,更新2015年10月16日:Chrome更新到46版本后,土木坛子这个域名就正式开始内置强制HTTPS加密了),全球所有主流浏览器都会内嵌你的域名(Chrome, Firefox, Safari, IE 11+等),解决第一次HTTP的问题,你的域名自始至终都将自动使用HTTPS协议。

如果没有HSTS列表的话,就只能借助HTTPS Everywhere List了,已有好心人把土木坛子的域名 tumutanzi.com 收录到HTTPS Everywhere List里面了。