我有一个使用免费的Cloudflare服务的网站,并启用了HTTP Strict Transport Security (HSTS)预加载。
如果我希望从Cloudflare中删除域名并直接路由到域名托pipe的服务器,并且有效的SSL证书,那么无论max-age期限是否过期,该站点都将保持可访问状态。
我已经启用了HTTP Strict Transport Security (HSTS)的唯一位置在Cloudflare控制台的内部,它实际上没有在源服务器上configuration。
Cloudflare的HSTS警告面板来源
谢谢。
HTTP严格传输安全性(HSTS)不会阻止您将您的DNSlogging更改为指向不同的IP地址,它只会阻止启用了HSTS的浏览器(已经看到HSTS标头或已预加载,即Chrome)尝试连接通过HTTP(与HTTPS)。
所有这一切都会导致具有HSTSfunction的浏览器在发送请求之前将http://example.com的请求更改为https://example.com ,从而确保没有任何信息以明文forms发送。
Cloudfare警告只是告诉您,当您更改托pipe公司时,您需要确保您在新网站上安装了有效的SSL。
因为您在新的托pipe位置拥有有效的SSL证书,所以您很好。 只需更新您的DNS并继续!
如果您保持SSL, 则没有理由禁用HSTS 。 另一方面, 没有 SSL能力的站点上的HSTS使得该站点不太安全,因为HSTS阻止的stream量通过HTTPstream动,能够清楚地穿越因特网。
就HSTS“预加载”而言,这是Google公司在Chrome浏览器中预加载HSTS头部的过程(而不是浏览器在存储头部之前必须访问该网站一次)。 像所有的HSTS头信息一样,预加载的HSTS信息是通过主机名存储的, 而不是 IP地址。 您始终可以自由更改网站托pipe的IP地址。 另一方面,在启用HSTS之后删除SSL会使某些用户访问您的站点变得困难(如果不是不可能的话)。
我们(CloudFlare)很快传播DNS。 有一个合理的机会,一个caching版本可以在最初服务,但它不会超过300秒(可能更less)。
小马的答案是正确的。
但是,要预加载一点点:
如果您的头文件中设置了“预加载”标记,那么您可以将该网站提交到预加载列表,这样您使用HSTS的事实将被烘焙到浏览器中,而不是基于浏览器是否最后在max-年龄时间。
当他们看到一个包含preload关键字的头文件时,似乎一些浏览器主动将您的网站添加到他们的预加载列表中。 所以你可能会预装没有意识到它。
最容易检查的地方是https://www.ssllabs.com/ssltest/ ,在底部附近有HSTS预加载字段,它会告诉你哪些浏览器预加载你的网站。
这有两个重要的原因:
您可能没有意识到您的站点已预加载,并且在离开Cloudflare一段时间后,可能认为HTTPS是安全的 – 但可能不会。
您可能希望保持预加载状态,但是Chrome会警告 ,如果域未继续为标题提供preload关键字,则可能在将来从内置列表中删除域。 在这种情况下,如果你想留下来,你应该把正确的HSTS头添加到你的基本服务器上。
最后你应该知道,预加载(通常)需要“includesubdomains”参数,因此,即使您从未在子域中显式发布该标头,域的所有子域也可能位于预加载列表中。
预加载会增加一些复杂性和限制,所以需要充分理解这是什么意思,如果您因为某种原因想要恢复为HTTP。