我正在构建网站,并想知道如果HTTP发出第一个请求,我怎么能确保它是安全的。 HSTS这样做但部分是这样做的。
我认为不打开HTTP端口解决了这个问题。但这是标准吗?我的网站是B到B,所以SEO不是问题。用户可以直接访问我的地址,但可以使用HTTP。有什么想法吗?
答案 0 :(得分:0)
简短回答:
由于预加载,它将保护您的访问者即使是第一次访问:浏览器会知道您的域名必须仅在第一次联系之前与https联系(它将在其源代码中,见https://github.com/ssllabs/research/wiki/Preload-Lists)。
(当然,请保持301重定向http => https)
为什么关闭端口80不是个好主意?让我们看看两个选项:
关闭HSTS和端口80的选项:
http://example.com后续访问:没有任何反应
首次访问https://example.com:用户安全且保留HSTS
如果发生攻击:
打开HSTS和端口80的选项:
http://example.com后续访问:用户安全地重定向到https(感谢HSTS)
首次访问https://example.com:用户安全且保留HSTS
如果发生攻击:
http://example.com后续访问:用户安全地重定向到https(感谢HSTS)
首次访问https://example.com:用户安全且保留HSTS
正如您所看到的,打开端口80以回复301重定向到https可以提高安全性(并且关闭它不会改善它,并且可能会使访问者感到困惑)
答案 1 :(得分:-1)
我建议使用防火墙重定向规则将http更改为https。