您好,欢迎来到三六零分类信息网!老站,搜索引擎当天收录,欢迎发信息
免费发信息
三六零分类信息网 > 银川分类信息网,免费分类信息发布

nginx是如何配置HSTS的

2024/3/10 0:53:11发布20次查看
netcraft 公司最近公布了他们检测ssl/tls网站的研究,并指出只有仅仅5%的用户正确执行了http严格传输安全hsts。
什么是hsts
https(ssl和tls)确保用户和网站通讯过程中安全,使攻击者难于拦截、修改和假冒。当用户手动输入域名或http://链接,该网站的第一个请求是未加密的,使用普通的http。最安全的网站立即发送回一个重定向使用户引向到https连接,然而,中间人攻击者可能会攻击拦截初始的http请求,从而控制用户后续的回话。
自然而然hsts应运而生为了解决这一潜在的安全问题。即时用户输入域名或http连接,浏览器将严格的升级到https连接。
hsts如何工作的
hsts策略是从安全的https站点发送的http响应头部发布的。
strict-transport-security: max-age=31536000
当浏览器从https站点看到这个头部,就知道该域名只能通过https(ssl 或者 tls)访问了。并将此信息缓存到31536000,也就是1年。
可选的参数includesubdomains告诉浏览器该策略适用于当前域下的所有子域。
strict-transport-security: max-age=31536000; includesubdomains
nginx配置hsts
在nginx配置文件上设置hsts响应头部。
add_header strict-transport-security max-age=31536000; includesubdomains always;
always 参数确保所有的响应设置该头部,包括内部产生的错误响应。nginx版本早于1.7.5不支持该always参数和内部产生的错误响应不设置该头部信息。
add_header指令继承规则:
nginx配置块继承add_header指令所在的封装块,因此只需将add_header指令放在顶级的server块。此外还有个重要的例外,如果一个块包含了add_header指令本身,它不会从封装块继承该头部,你需要重新定义所有的add_header指令。
server {    listen 443 ssl;     add_header strict-transport-security max-age=31536000; includesubdomains always;     # this 'location' block inherits the sts header    location / {        root /usr/share/nginx/html;    }     # because this 'location' block contains another 'add_header' directive,    # we must redeclare the sts header    location /servlet {        add_header x-served-by my servlet handler;        add_header strict-transport-security max-age=31536000; includesubdomains always;        proxy_pass http://localhost:8080;    }}
测试http严格传输安全:
一旦用户提出hsts策略,它的缓存信息期由max-age指定。在此期间,浏览器将会拒绝通过未加密的http访问web服务,并拒绝给予例外证书错误(如果该网站以前提交了一个有效可信的证书)。如果指定了一个includesubdomanis参数,这些限制也同样适用于当前域下的所有子域。
当你测试hsts时,max-age时间设置短点。
是否每个https响应需要有一个sts头部:
我们的目标是当用户开始https回话时,尽可能快的呈现hsts策略。如果他们在回话期间接收到hsts策略,他们仍然容易受到http劫持攻击的。浏览器只需查看一次sts头部,因此它不是严格必要将它添加到每个位置块和每个响应。然而,只在主页或者登陆页面添加它可能是不够的,如果你只添加到缓存的响应,客户端可能无法看到它。确保尽可能多的合理的覆盖到你的url,特别注意动态的内容。
http和https并行
有时网站需要同时运行在http和https下
server {    listen  80;    listen  443 ssl;    ...}
有时,需要将http请求重定向到https
server {    listen 80 default_server;    listen [::]:80 default_server;    server_name _;     # discourage deep links by using a permanent redirect to home page of https site    return 301 https://$host;     # alternatively, redirect all http links to the matching https page    # return 301 https://$host$request_uri;} server {    listen 443 ssl;    server_name www.ttlsa.com;     add_header strict-transport-security max-age=31536000; includesubdomains always;}
加强hsts
保护客户端从http拦截,从它看到sts头部到声明的max-age的期间内。然而,hsts并不是http回话劫持的完美解决方案。用户仍然容易受到攻击,如果他们通过http访问hsts保护的网站时:
以前从未访问过该网站
最近重新安装了其操作系统
最近重新安装了其浏览器
切换到新的浏览器
切换到一个新的设备如移动电话
删除浏览器的缓存
最近没访问过该站并且max-age过期了
为了解决这个问题,google坚持维护了一个“hsts preload list”的站点域名和子域名,并通过https://hstspreload.appspot.com/提交其域名。该域名列表被分发和硬编码到主流的web浏览器。客户端访问此列表中的域名将主动的使用https,并拒绝使用http访问该站点。
一旦设置了sts头部或者提交了你的域名到hsts预加载列表,这是不可能将其删除的。这是一个单向的决定使你的域名通过https可用的。
以上就是nginx是如何配置hsts的的详细内容。
银川分类信息网,免费分类信息发布

VIP推荐

免费发布信息,免费发布B2B信息网站平台 - 三六零分类信息网 沪ICP备09012988号-2
企业名录