HSTS
1、简介
HSTS的全称是HTTP Strict-Transport-Security,它是一个Web安全策略机制(web security policy mechanism)。
HSTS最早于2015年被纳入到ThoughtWorks技术雷达,并且在2016年的最新一期技术雷达里,它直接从“评估(Trial)”阶段进入到了“采用(Adopt)“阶段,这意味着ThoughtWorks强烈主张业界积极采用这项安全防御措施,并且ThoughtWorks已经将其应用于自己的项目。
HSTS最为核心的是一个HTTP响应头(HTTP Response Header)。正是它可以让浏览器得知,在接下来的一段时间内,当前域名只能通过HTTPS进行访问,并且在浏览器发现当前连接不安全的情况下,强制拒绝用户的后续访问要求。
2、hsts流程
3、如何配置HSTS
需要可被浏览器信任的HTTPS证书,一般来说如果有域名可以直接在let’s encrypt 获取免费的ssl证书,但需要域名备案等等条件才能正常访问,所以下文通过本地生成可信证书的方式用于测试环境。
3.1 生成证书
1、生成证书文件
openssl req -x509 -nodes -days 3650 -newkey rsa:2048 -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=MJY" -keyout CA-private.key -out CA-certificate.crt -reqexts v3_req -extensions v3_ca
openssl genrsa -out private.key 2048
openssl req -new -key private.key -subj "/C=CN/ST=ZheJiang/L=HangZhou/O=MJY/CN=10.0.47.36” -sha256 -out private.csr
#最后的 CN=IP地址或域名
2、生成ext文件:
#复制如下内容到private.ext文件中
[ req ]
default_bits = 1024
distinguished_name = req_distinguished_name
req_extensions = san
extensions = san
[ req_distinguished_name ]
countryName = CN
stateOrProvinceName = Definesys
localityName = Definesys
organizationName = Definesys
[SAN]
authorityKeyIdentifier=keyid,issuer
basicConstraints=CA:FALSE
keyUsage = digitalSignature, nonRepudiation, keyEncipherment, dataEncipherment
subjectAltName = IP:127.0.0.1
#其中ip后内容,改成自己需要的ip地址(服务器ip或者域名)#最后使用 :wq 保存退出
3、生成CA证书
openssl x509 -req -days 3650 -in private.csr -CA CA-certificate.crt -CAkey CA-private.key -CAcreateserial -sha256 -out private.crt -extfile private.ext -extensions SAN
4、安装
安装CA-certificate.crt证书
3.2 nginx配置
(1)在server里增加一行
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
(2)在http server里配置重定向
server {
listen 80 ;
listen [::]:80;
root /var/www/html;
return 301 https://$host;
location / {
index index.html index.php;
autoindex on;
}
location ~ .php$ {
root /var/www/html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
include fastcgi_params;
}
}
参考:
hsts简介