如何在 Apache 中启用 HSTS 以增强网络安全性 ？

HTTP Strict Transport Security （HSTS）严格传输安全是一种安全特性，帮助保护网站免受某些攻击。它确保了网络浏览器总是使用安全的 HTTPS 连接到您的网站，而不是不安全的 HTTP 协议。本指南将向您展示如何设置和改进 Apache 中的 HSTS 以获得更好的安全性。

为什么使用 HSTS?

在我们讨论如何设置 HSTS 之前，让我们先谈谈为什么 HSTS 很重要。

Stop man-in-the-middle attacks

HSTS 确保连接到您的网站始终是安全的，防止攻击者 从 HTTPS 降级到 HTTP 连接并且监视你的用户。

Stop cookie hijacking

通过强制使用 HTTPS， HSTS 可以保护用户的 cookie 免受攻击者的窃取攻击。

Meet browser requirements

一些现代浏览器要求网站使用 HTTPS，并可能显示安全警告。HSTS 可以帮助满足这些要求，并为用户提供更好的浏览体验。

在 Apache 中配置 HSTS

Access your Apache configuration file

根据您的系统，该文件可以命名为 httpd.conf、apache2.conf 或 ssl.conf。通常，您可以在 /etc/apache2 或 /etc/httpd 目录中找到它。

Enable the headers module

HSTS 是作为 HTTP 报头发送的，所以您需要确保 headers 模块是启用的。在基于 debian 的系统，你可以通以下命令来启用它：

sudo a2enmod headers 
service apache2 restart

Add the HSTS header

打开配置文件，找到站点部分，并在 “<VirtualHost *:443>”块中添加这一行：

<VirtualHost *:443># ...# ....Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"# ....
</VirtualHost>

这一行告诉浏览器在下一年（31536000 秒 = 1 年）为您的站点使用 HTTPS，包括所有子域。

Restart Apache

保存更改，然后重新启动 Apache 以应用更改。

service apache2 restart

在 Apache 中优化 HSTS

虽然在您的服务器上启用了 HSTS，但您可以采取其他步骤使其更好。

Use a long max-age

此参数告诉浏览器要记住使用 HTTPS 的时间。更长的最长使用时间（例如，1 年）提供了更好的安全性，但如果您停止使用 HTTPS，浏览器仍然会尝试通过 HTTPS 访问您的站点，直到 max-age 过期。

Include subdomains

该参数告诉浏览器对站点的所有子域使用 HTTPS。在启用此选项之前，请确保所有子域都支持 HTTPS
避免连接问题。

Preload HSTS

即使在第一次访问您的站点时，也强制执行 HSTS。要预加载 HSTS，请在 HSTS 配置中添加 preload 指令。

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

设置完成后，您可以将您的站点提交到 HSTS 预加载列表 https://hstspreload.org/ ，从预加载列表中删除可能需要几个月的时间，所以要确保这一步。

Renew your SSL certificate promptly

HSTS 需要有效的 SSL 证书。如果您的证书过期且未更新，浏览器可能会显示安全警告或阻止用户访问访问您的网站。

Test your implementation

设置 HSTS 之后，使用 Qualys SSL 服务器测试之类的工具来检查它是否正常工作。此工具提供对服务器 SSL 设置的详细分析，可以发现潜在的问题。

我的开源项目

• course-tencent-cloud（酷瓜云课堂 - gitee仓库）
• course-tencent-cloud（酷瓜云课堂 - github仓库）