HSTS

由于服务器管理员没能正确设置 HTTP Strict Transport Security （HSTS），现今大量的 HTTPS 流量都能被轻松劫持。

自从关注了 HTTPS，Linux 中国就成了 HTTPS 的铁杆粉丝了，不但传播了很多 HTTPS 相关的文章，而且身体力行的将 http://linux.cn也切换到了 https://linux.cn。非但如此，还激进地配置了 HSTS策略。 HSTS 是什么？ 如果一个 web 服务器支持 HTTP 访问，并将其重定向到 HTTPS 访问的话，那么访问者在重定向前的初始会话是非加密的。举个例子，比如访问者输入 http://www.foo.com/ 或直接输入 foo.com 时。 这就给了中间人攻击的一个机会，重定向可能会被破坏，从而定向到一个恶意站点而不是应该访问的加密页面。 HTTP 严格传输安全（HSTS

编者按：前段时间，Google 报告说 CNNIC 签发的一个中级 CA 签发了一个伪造的 Google 证书，从而导致 Google 和 Mozilla 在其产品中取消了对 CNNIC 后继签发的证书信任。 本文就来讲述一下，这种伪造证书是如何被 Google 发现的，其技术机制是什么？如何在网站服务器上实现伪造证书防御和报告机制。 公钥固定（Public Key Pinning）是指一个证书链中必须包含一个白名单中的公钥，也就是说只有被列入白名单的证书签发机构（CA）才能为某个域名*.example.com签发证书，而不是你的浏览器中所存储的任何 CA 都可以为之签发。本文讲述了这种机

HTTP 严格传输安全（HSTS）是一种安全功能，web 服务器通过它来告诉浏览器仅用 HTTPS 来与之通讯，而不是使用 HTTP。本文会说明如何在 Apache2、Nginx 和 Lighttpd 上如何启用 HSTS。在主流的 web 服务器上测试通过： Nginx1.1.19、 Lighttpd 1.4.28 和Apache 2.2.22 ，环境为 Ubuntu 12.04、 Debian 6 7 和 CentOS 6，只需要调整部分参数就可以工作在其它的发行版上。 什么是 HTTP 严格传输安全？ 引用自Mozilla Developer Network： 如果一个 web 服务器支持 HTTP 访问，并将其重定向到 HTTPS 访问的话，那么访问者在重定向前的初始