首页   注册   登录
V2EX  ›  SSL

是否有必要将自己的网站从 HSTS Preload List 中删除?

  •  
  •   syhily · 2016-08-14 15:08:25 +08:00 · 6204 次点击
    这是一个创建于 1193 天前的主题,其中的信息可能已经有所发展或是发生改变。

    刚才在 https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json 这个列表里面看到自己的小破站,惊出一身冷汗,我从来都没有提交过添加申请,怎么就被收录了。万一我以后不想用 HTTPS 还不得搞死。

    于是我立刻发邮件申请删除,现在事后冷静下来,觉得加入也没啥,比较 Chrome 的源码里有了我的破站也是很有意思的事情。所以问问大家,你们觉得是加还是不加 HSTS Preload List

    24 回复  |  直到 2016-08-16 17:54:58 +08:00
        1
    DoraJDJ   2016-08-14 15:11:28 +08:00 via Android
    你想你的网站被运营商劫持加上些奇怪的东西进去吗?
        2
    crazycen   2016-08-14 15:17:49 +08:00 via iPhone
    加了,你以后的子域名就要 https 。我已经加了,于是弄个了野卡 ssl
        3
    syhily   2016-08-14 15:26:08 +08:00
    @crazycen 野卡太贵啦,买不起,穷人。
        4
    BXIA   2016-08-14 15:30:16 +08:00
    @syhily AlphaSSL 有免费的 wildcard
    显然个人用户不会有几个子域的,所以我还是安心用 LE
        5
    mornlight   2016-08-14 15:31:08 +08:00
    你的域名是不是之前被别人用过
        6
    xgfan   2016-08-14 15:44:52 +08:00 via Android
    @BXIA 没听说过免费的野卡啊。
        7
    dynos01   2016-08-14 15:49:09 +08:00 via iPad   ♥ 1
    没加,虽然现在所有子域都是 https 而且有 wildcard 证书,但有的时候不得不用 http
        8
    davidyin   2016-08-14 16:05:46 +08:00
    已经把能加入的,都加入了。只要条件允许, https 是一个加分项。
        9
    BXIA   2016-08-14 16:07:41 +08:00
        10
    crazycen   2016-08-14 16:30:02 +08:00
    有免费一年的野卡。子域名用的野卡。
        11
    ZE3kr   2016-08-14 16:38:55 +08:00 via iPhone
    @xgfan https://assl.loovit.net

    LE 在 beta 拿掉后限制很少的,一张证书 100 个域名,一周几乎就是签无限次。

    不过 HSTS 确实比较坑,非 443 端口也 https ,导致我偶尔跨域什么都需要 http 也不行,无奈只能多买几个域名,留几个不开 preload 和 includesubdomain ,也算给自己留个后门吧

    删 Preload 过程不是特别麻烦,以后随时删也行。
        12
    Showfom   2016-08-14 16:56:02 +08:00
    弱弱的问一下,如何加入这个列表?
        13
    Hello1995   2016-08-14 16:59:09 +08:00 via Android
        14
    Showfom   2016-08-14 17:02:14 +08:00
    找到了

    nginx 必须增加

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

    然后在 这里提交

    https://hstspreload.appspot.com/
        15
    wql   2016-08-14 17:09:30 +08:00
    @Showfom 而且 www 子域名必须可以访问~
        16
    abelyao   2016-08-14 17:39:00 +08:00
    @BXIA @ZE3kr 请教一下这东西以后续期怎么办?重新签发吗?
        17
    ZE3kr   2016-08-14 17:50:46 +08:00 via iPhone
    @abelyao 是,所谓续期都是重新前发, csr 和 key 可以一样,不一样也不影响
        18
    xgfan   2016-08-14 18:45:46 +08:00   ♥ 1
    @ZE3kr
    @BXIA
    感谢,不过这货的验证邮件一直没收到过 -_-||
        19
    ranran   2016-08-14 19:30:47 +08:00
    @crazycen 对对对!我也是怕这个,必须用野卡就麻烦了!安全性带来的麻烦!
    @dynos01



    @ZE3kr 哈哈哈 路由器管理界面搞个域名都管理不了了
        20
    BXIA   2016-08-14 19:33:27 +08:00 via iPhone
    @abelyao

    @xgfan 我签发成功了,但是搞不懂怎么陪着野卡的 csr ,后来还是用 LE
        22
    lan894734188   2016-08-14 21:28:34 +08:00 via Android
    早已加入
        23
    qinxi   2016-08-15 09:44:46 +08:00
    我也没有提交申请,自己就进去了...我现在考虑要不要发邮件移除
        24
    Williamp   2016-08-16 17:54:58 +08:00
    @syhily I can't say it is expensive because saved some money at this https://www.clickssl.net/promotion/wildcard-ssl-coupons
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2586 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 24ms · UTC 12:51 · PVG 20:51 · LAX 04:51 · JFK 07:51
    ♥ Do have faith in what you're doing.