BBC 如何推出 HSTS 以提高安全性和性能。

BBC 正在为其网站推出 HSTS，以提高安全性和性能。欢迎了解 HSTS 的意义以及它能为您提供哪些帮助。

Jeremy Wagner

HTTPS 的采用率近年来一直在稳步增长。根据 HTTP Archive 的 2021 年网络年鉴，在针对桌面设备和移动设备的所有请求中，大约 91% 是通过 HTTPS 传送的。HTTPS 并不仅仅是存在，而是使用 Service Worker 等功能和 HTTP/2 和 HTTP/3 等现代协议的必要前提条件。

最近，BBC 首席技术架构师 Neil Craig 在推文中提到，bbc.com 正逐步推出 HTTP 严格传输安全协议 (HSTS)。来看看这对 BBC 而言意味着什么，以及对您而言意味着什么。

问题

Web 服务器通常同时监听端口 80 和 443 上的请求。端口 80 用于不安全的 HTTP 请求，而端口 443 用于安全的 HTTPS。这可能会带来问题，因为当您在地址栏中输入不带 https:// 协议前缀的地址时（就像大多数用户所做的那样），由于旧版原因，某些浏览器会将流量定向到网站的不安全 HTTP 版本（但并非始终如此）。

要确保用户不会访问网站的不安全版本，一种常用的方法是针对所有请求设置 HTTP 到 HTTPS 重定向。这当然有效，但会引发以下一系列事件：

1. 服务器收到 HTTP 请求。
2. 服务器发出重定向，以转到所请求资源的 HTTPS 等效资源。
3. 服务器必须与浏览器协商安全连接。
4. 内容会照常加载。

虽然重定向功能可以正常使用，但它们可能存在配置错误，导致仍然允许访问网站的不安全版本。即使所有设置都已正确配置，也仍存在安全问题，那就是用户在重定向阶段仍会通过不安全的 HTTP 进行连接，导致用户面临危险的中间人攻击。

输入 HSTS

HSTS 由 HTTPS 请求的 Strict-Transport-Security HTTP 响应标头决定。设置后，对网站的回访将会触发称为“307 内部重定向”的特殊重定向，在这种情况下，由浏览器（而不是服务器）处理重定向逻辑。这可以防止请求被拦截，因为它永远不会离开浏览器，所以更加安全。另一个好处是，这些类型的重定向速度非常快，因此消除了从 HTTP 到 HTTPS 的跃点期间的任何明显延迟。

HSTS 标头指定 max-age 指令，其语法与 Cache-Control 的 max-age 指令的语法类似。该指令采用一个以秒为单位的值，用于指定政策的有效期：

Strict-Transport-Security: max-age=3600

在前面的示例中，此政策仅在一小时内有效。

部署 HSTS

部署 HSTS 的主要缺点是，如果您尚未准备好将源站视为严格安全，假设您有多个子网域正在提供资源，但并非所有子网域都是安全的。在这种情况下，HSTS 标头可能会破坏您的网站。

BBC 在部署 HSTS 时采用了正确的方法。正如 Neil Craig 在他的推文中提到的，为 bbc.com 设置的初始值为 max-age=10。

这种方法意味着政策最初仅在 10 秒内有效。这并不会带来太大的好处，但我们的想法是了解应用 HSTS 是否有问题。随着时间的推移，您可以逐步增加此政策，看看是否会出现问题。在撰写本文时，bbc.com 正在将 HSTS 政策指定为 max-age=86400，该政策几乎肯定会随着时间的推移而增加。

部署 HSTS 时，您肯定不希望看到长 max-age 值。您可能会发现，用户在解决问题时突然开始忙于解决。先小规模测试，然后逐步增加！如果您确信一切正常，就可以将 max-age 指令设置为更长的时间段。建议在全面推出后将 max-age 设置为一到两年。

利用 HSTS 预加载列表，获享更安全、更快速的初始导航

HSTS 政策仅在用户首次访问某个网站后才会生效，因此首次访问该网站时并不会享受到任何好处。不过，这仍然需要采用不安全的重定向。不过，您可以预加载自己的 HSTS 政策，只需将您的网站提交到 HSTS 预加载列表即可。HSTS 预加载列表是一个经过硬编码的列表，由浏览器确定为严格采用 HTTPS 的网站。如果您的网站位于预加载列表中，首次访问也会受到保护，并且从 HTTP 到 HTTPS 的重定向将即时完成。

亲自尝试一下

如果 BBC 愿意测试 HSTS，则您很可能也可以对自己的网站进行同样的测试。您可以测试一下您的网站，如果希望改进，当您确信没有错误，可以将其添加到 HSTS 预加载列表中，以便为用户带来更安全、更快速的体验。