网站启用HSTS并申请HSTS Preload List以及删除HSTS的方法
启用https,给网站加小绿锁,早已是大势所趋,但为了更加安全的访问网站,可以启用HSTS(HTTP Strict Transport Security,HTTP严格安全传输),启用后,浏览器会强制使用https访问网站,而不能使用http访问。
首先在网站配置文件中加入以下代码(nginx为例):
add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";
并重启nginx。
然后请前往https://hstspreload.org/,将你的主域名加载到HSTS列表中,加入此列表后,主流浏览器就会识别你的网站,并强制使用https访问。
在此页面中,输入你的域名(如:psay.cn),然后点击“Check HSTS preload status and eligibility”,若有不完善的地方,按提示修改完善。检测无误后,便可以加到HSTS列表中了。不过这并不是即时的,而是需要一定时间的,因为需要审核,另外主流浏览器加载HSTS列表也需要时间。
但是加入HSTS后,我后悔使用https访问网站,要使用http访问网站,怎么办?
此时可以访问https://hstspreload.org/removal/,在HSTS列表中删除你的域名,请按提示操作即可,不过要注意的是,这也不是实时的,也需要一段时间才能删除。