保护第一个HTTP请求

Question

我正在构建网站，并想知道如果HTTP发出第一个请求，我怎么能确保它是安全的。 HSTS这样做但部分是这样做的。

我认为不打开HTTP端口解决了这个问题。但这是标准吗？我的网站是B到B，所以SEO不是问题。用户可以直接访问我的地址，但可以使用HTTP。有什么想法吗？

Answer 1

简短回答：

• 使用HSTS预加载：https://hstspreload.appspot.com/
• 在https上，始终发送HSTS标头
• 在http上，始终发送301重定向到https

由于预加载，它将保护您的访问者即使是第一次访问：浏览器会知道您的域名必须仅在第一次联系之前与https联系（它将在其源代码中，见https://github.com/ssllabs/research/wiki/Preload-Lists）。

（当然，请保持301重定向http =＆gt; https）

为什么关闭端口80不是个好主意？让我们看看两个选项：

关闭HSTS和端口80的选项：

• 首次访问http://example.com：没有任何反应

• http://example.com后续访问：没有任何反应

• 首次访问https://example.com：用户安全且保留HSTS

• 后续访问http://example.com或https://example.com：用户是安全的（由于HSTS，http访问会被重定向）

如果发生攻击：

• 第一次访问 http://example.com：遭到入侵（即使您的服务器没有响应，黑客也可以打造答案）
{li> 后续访问 http://example.com：遭到黑客入侵（用户可能会被欺骗点击指向您网站的http链接）
• 首次访问https://example.com：用户是安全的
• 后续访问http://example.com或https://example.com：用户是安全的（由于HSTS，http访问会被重定向）

打开HSTS和端口80的选项：

• 首次访问** http://example.com：301重定向到https（然后获取HSTS）

• http://example.com后续访问：用户安全地重定向到https（感谢HSTS）

• 首次访问https://example.com：用户安全且保留HSTS

• 后续访问http://example.com或https://example.com：用户是安全的（由于HSTS，http访问会被重定向）

如果发生攻击：

• 首次访问 http://example.com：遭到入侵

• http://example.com后续访问：用户安全地重定向到https（感谢HSTS）

• 首次访问https://example.com：用户安全且保留HSTS

• 后续访问http://example.com或https://example.com：用户是安全的（由于HSTS，http访问会被重定向）

正如您所看到的，打开端口80以回复301重定向到https可以提高安全性（并且关闭它不会改善它，并且可能会使访问者感到困惑）

Answer 2

我建议使用防火墙重定向规则将http更改为https。