我已经将Apache设置为使用HSTS,仅用于testing和学习的目的:
/etc/apache2/sites-enabled/000-default.conf
NameVirtualHost 192.168.3.55:80 NameVirtualHost 192.168.3.55:443 ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> <VirtualHost www:80> ServerName www ServerAdmin webmaster@localhost DocumentRoot /var/www/html </VirtualHost> <VirtualHost www:443> ServerAdmin webmaster@localhost DocumentRoot /var/www/html ServerName www SSLEngine on SSLCertificateFile "/etc/apache2/ssl/mysitename.crt" SSLCertificateKeyFile "/etc/apache2/ssl/mysitename.key" Header always set Strict-Transport-Security "max-age=63072000;includeSubdomains;" </VirtualHost> 我可以连接到端口80和端口443就好了。 第一个网站没有encryption,后者是。 所有好的。
在访问HTTPS网站之后,我看到了hsts头文件:
Strict-Transport-Security:max-age=63072000; includeSubdomains;
当我然后键入http:// www我确实看到:
Upgrade-Insecure-Requests: 1 in the header using developer tools
但是,浏览器连接到HTTP站点,我tcpdump请求,并看到响应仍然清晰。
它不应该是一个安全的连接,或者我错过了什么? 我以为浏览器只会尝试从现在开始访问安全网站)
这可能是您尝试混淆域名的结果,但HSTS需要FQDN www.example.com并且不适用于诸如www简短主机名。
由于我正在testing,我没有一个有效的证书,它是自签名的。 哎呀。 活到老,学到老。