启用 HSTS
最近更新时间:2023.03.15 19:28:18
首次发布时间:2023.03.08 16:58:01
本文档介绍如何在火山引擎内容分发网络中对加速域名启用 HSTS。
HSTS 概述
HSTS 的全称是 HTTP Strict Transport Security,是一种网络安全的策略机制。HSTS 的目的是保护用户在访问 HTTPS 站点的期间免受降级攻击和 cookie 劫持。 在您对站点启用 HSTS 后,站点的响应中会包含 Strict-Transport-Security 响应头。Strict-Transport-Security 响应头告知浏览器其向站点发送的每个请求都必须使用 HTTPS 协议。
Strict-Transport-Security 响应头还包含两个参数。关于这两个参数的描述,参见配置说明。
HSTS 与强制跳转
在进一步阐述 HSTS 之前,有必要先解释 HSTS 与强制跳转的区别。
HTTP 是一个不安全的协议。当用户在浏览器中指定 HTTP 协议向一个站点发送请求时,该请求可能会被劫持并重定向到恶意站点。为了避免 HTTP 请求访问加速域名,内容分发网络提供了以下两个配置:
- 强制跳转。在启用强制跳转后,您需要设置 跳转类型 为 HTTP 到 HTTPS。
- HSTS。
强制跳转的局限
在您配置强制跳转后,如果浏览器向内容分发网络发送了一个 HTTP 请求,内容分发网络会返回 301 或者 302 响应状态码通知浏览器将 HTTP 请求跳转到 HTTPS 请求。关于更多强制跳转的信息,参见强制跳转。
但是,即使您配置了强制跳转,用户依然可以在浏览器中指定 HTTP 协议向内容分发网络发送 HTTP 请求。虽然会被跳转到 HTTPS 请求,这些 HTTP 请求在到达内容分发网络前依然有被劫持的风险。
HSTS 的优势
相比强制跳转,HSTS 提供了一个更安全的方案。在您为加速域名启用 HSTS 后,内容分发网络的响应中会包含 Strict-Transport-Security 响应头。如果浏览器成功使用 HTTPS 协议对内容分发网络发送过一次请求,浏览器就会缓存该响应头。假设之后用户再次在浏览器中指定 HTTP 协议访问内容分发网络。在发送请求前,浏览器会将 HTTP 转换成 HTTPS。由于转换过程在浏览器侧发生,就能极大降低浏览器向内容分发网络发送的 HTTP 请求的数量。同时,也降低了 HTTP 请求被劫持的风险。
HSTS 响应头起作用的前提条件
虽然 HSTS 方案更安全,但是要使浏览器遵循 Strict-Transport-Security 响应头将 HTTP 转换成 HTTPS,以下条件必须满足:
浏览器已缓存了
Strict-Transport-Security响应头。已缓存的响应头未过期。关于
Strict-Transport-Security响应头的缓存有效时间,参见配置说明。
在加速域名启用了 HSTS 后,内容分发网络在响应任何请求时都会返回 Strict-Transport-Security 响应头。但要使浏览器缓存该响应头,浏览器必须成功使用 HTTPS 协议向内容分发网络发送过一次请求。因此,在您启用 HSTS 时,推荐您也启用强制跳转并设置 跳转类型 为 HTTP 到 HTTPS。
说明
当您在内容分发网络控制台中启用 HSTS 时,内容分发网络会提示您是否需要启用强制跳转的配置。参见操作步骤。
浏览器与内容分发网络的交互过程
在您启用了 HSTS 与强制跳转后,如果用户使用浏览器向内容分发网络发送了一个 HTTP 请求,浏览器与内容分发网络的交互过程如下:
浏览器检查是否存在已缓存的
Strict-Transport-Security响应头。由于浏览器缓存中不存在该响应头,浏览器向内容分发网络发送该 HTTP 请求。
内容分发网络收到该请求后,由于强制跳转的配置,内容分发网络的响应状态码是 301 或 302。同时,由于 HSTS 的配置,响应中包含了
Strict-Transport-Security响应头。此时,由于还未成功使用 HTTPS 协议向内容分发网络发送过一次请求,浏览器不缓存该响应头。由于 301 或 302 响应状态码,浏览器向内容分发网络发送 HTTPS 请求。在响应中,内容分发网络同样包含了
Strict-Transport-Security响应头。假设该响应头的有效时间是 10 分钟,并且该 HTTPS 请求成功获取了请求的文件。由于 HTTPS 请求成功,浏览器对
Strict-Transport-Security响应头进行缓存。
在 10 分钟内,假设该用户使用浏览器再次向内容分发网络发送 HTTP 请求。此时,浏览器与内容分发网络的交互过程如下:
浏览器检查是否存在已缓存的
Strict-Transport-Security响应头。由于浏览器缓存中存在该响应头,浏览器检查该响应头是否已过期。
由于该响应头未过期,浏览器就将 HTTP 转换为 HTTPS 并向内容分发网络发送该请求。
注意
如果缓存的
Strict-Transport-Security响应头已过期,当该用户向内容分发网络发送 HTTP 请求时,会重复浏览器与内容分发网络的交互过程中描述的步骤。需要注意的是,即使您已启用了 HSTS 与强制跳转,内容分发网络收到的 HTTP 请求是无法杜绝的。因为在以下任意情况下,浏览器不会将 HTTP 转换成 HTTPS:
浏览器缓存中不存在
Strict-Transport-Security响应头。浏览器缓存中的
Strict-Transport-Security响应头已过期。
启用 HSTS 的前提条件
要启用 HSTS,加速域名必须已经启用了 HTTPS。
操作步骤
登录 火山引擎内容分发网络控制台。
在左侧导航栏,点击 域名管理。
在 域名管理 页面,找到需要配置的域名,点击 管理。 页面上方的筛选条件和搜索框可以帮助您快速找到要配置的域名。
在域名页面上,点击 HTTPS 配置 页签。
在页面右上方,点击 编辑配置。
在 HSTS 设置 下方,设置 状态 为 开启。
如果此时您还未启用强制跳转,或者您已经启用了强制跳转但是 跳转类型 不是 HTTP 到 HTTPS,内容分发网络会询问您是否要启用强制跳转并将 跳转类型 设置为 HTTP 到 HTTPS。其原因参见 HSTS 响应头起作用的前提条件。
如果您点击 确认,内容分发网络会对强制跳转进行相应的设置。在您点击 确认 前,请充分评估 "HTTP 请求跳转到 HTTPS 请求" 这个设置对您业务的影响。
如果您点击 忽略,内容分发网络会保留当前强制跳转的设置。
按照配置说明进行设置。
设置完成后, 在页面右上角点击 提交编辑。
配置说明
| 配置 | 说明 |
|---|---|
过期时间 | 表示 |
子域名 | 表示 HSTS 配置是否应用于子域名站点。该配置取值如下:
注意 如果您设置 子域名 为 包含,内容分发网络返回的响应头是告知浏览器向所有子域名发送的请求也必须使用 HTTPS 协议。此时,子域名站点必须是可以使用 HTTPS 协议访问的。同时,子域名也有 HTTP 强制跳转到 HTTPS 的类似配置。 |
举例
例子 1:您指定过期时间是 6 秒并且包含子域名。此时,内容分发网络实际返回的响应头如下:
Strict-Transport-Security: max-age=6;includeSubDomains
例子 2:您指定过期时间是 1 天并且不包含子域名。此时,内容分发网络实际返回的响应头如下:
Strict-Transport-Security: max-age=86400
更多信息
如何在浏览器中管理 HSTS 配置
下面以 Google Chrome 和 Microsoft Edge 为例,阐述如何在浏览器中管理 HSTS 配置。
在 Chrome 或 Edge 中,访问以下 URL:
chrome://net-internals/#hsts
在打开的页面中,您可以:
将一个域名添加到浏览器的 HSTS 缓存中。
从浏览器的 HSTS 缓存中删除指定的域名。
查询一个域名是否存在于浏览器的 HSTS 缓存中。
如果该域名不存在,查询结果是
Not found。如果该域名存在,查询结果会展示该域名的 HSTS 配置信息。在配置信息中,
dynamic_sts_observed表示浏览器缓存该域名的时间,时间格式是 Unix 时间戳。dynamic_sts_expiry表示该域名在 HSTS 缓存中的过期时间。
在您查询一个域名时,结果数据可能会有 1 分钟的延时。
