[TOC] ## 申請證書 ## 配置證書 * [證書配置文件生成器](https://mozilla.github.io/server-side-tls/ssl-config-generator/)，by Mozilla * [配置文件模板](https://github.com/SSLMate/tlsconfigguide/tree/master/templates)，by SSLMate ## 修改鏈接 ``` // bad <script src="http://foo.com/jquery.js"></script> // good <!-- 改法一 --> <script src="https://foo.com/jquery.js"></script> <!-- 改法二:推薦,強制該為https --> <script src="//foo.com/jquery.js"></script> ``` ## 301重定向 nginx ``` server { listen 80; server_name domain.com www.domain.com; return 301 https://domain.com$request_uri; } ``` Apache 的寫法（.htaccess文件）。 ``` RewriteEngine On RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [R=301,L] ``` ## 安全措施 ### HTTP嚴格傳輸安全(HSTS) - 是強制瀏覽器只能發出`HTTPS`請求，并阻止用戶接受不安全的證書 - 該方法的主要不足是，用戶首次訪問網站發出HTTP請求時，是不受HSTS保護的 網站的響應頭里面，加入一個強制性聲明 ``` Strict-Transport-Security: max-age=31536000; includeSubDomains ``` 這段頭信息有兩個作用 1. 在接下來的一年（即31536000秒）中，瀏覽器只要向example.com或其子域名發送HTTP請求時，必須采用HTTPS來發起連接。用戶點擊超鏈接或在地址欄輸入http://www.example.com/，瀏覽器應當自動將http轉寫成https，然后直接向https://www.example.com/發送請求。 2. 在接下來的一年中，如果example.com服務器發送的證書無效，用戶不能忽略瀏覽器警告，將無法繼續訪問該網站。 ### Cookie 網站響應頭里面，Set-Cookie字段加上Secure標志即可 ``` Set-Cookie: LSID=DQAAAK...Eaem_vYg; Secure ``` ### 分析網站的安全程度 可以使用 Mozilla 的[Observatory](https://observatory.mozilla.org/)