HSTS Preload

很多站长已经启用了 HTTPS。但即使开启了 HTTPS，仍可能因为用户首次访问的是 HTTP 而暴露在中间人攻击的风险中。解决方案之一就是启用 HSTS Preload（HTTP Strict Transport Security 预加载），而 hstspreload.org 就是这一机制的官方提交入口和检测平台。

一、什么是 HSTS Preload？

HSTS（HTTP 严格传输安全） 是一种 HTTP 头部机制，用于强制浏览器只能通过 HTTPS 与网站通信。
而 HSTS Preload 是指将你的网站域名提前写入各大主流浏览器（如 Chrome、Firefox、Safari）的“强制 HTTPS”列表中，即使用户首次访问也不会使用 HTTP 请求。

这可以有效防止首次访问时的“降级攻击（SSL Stripping）”，从而极大提高你网站的安全性。

二、hstspreload.org 的作用

https://hstspreload.org 是由 Chrome 团队提供的官方 HSTS 预加载检测和提交工具。它提供了以下功能：

• 检查你的网站是否符合 HSTS 预加载的要求；
• 判断你当前的 HTTPS 配置是否安全；
• 向浏览器提交你的域名，加入 preload list；
• 查看你的网站是否已被预加载。

三、启用 HSTS Preload 的配置要求

若要让 hstspreload.org 接受你的网站提交，你必须满足以下条件：

1. 网站启用 HTTPS 且配置了有效的 SSL/TLS 证书；
2. 在响应头中添加以下 HSTS 配置项（建议加在 nginx 或 Apache 配置中）：

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

3. 必须同时应用在主域名和所有子域名上（如 *.example.com）；
4. 网站不能出现 HTTP 版本访问（需将 HTTP 重定向至 HTTPS）；
5. 提交前建议先运行一段时间（如几周），确认无误后再提交。

四、如何使用 hstspreload.org 提交你的域名？

步骤如下：

1. 打开 https://hstspreload.org；
2. 在输入框中填写你的主域名（如 example.com）；
3. 点击“Check”查看当前配置状态；
4. 如果符合要求，将显示“eligible”；
5. 勾选确认并点击“Submit”提交预加载请求。

五、启用 HSTS Preload 的好处

• ⛓ 阻止中间人攻击（如 SSL Stripping）；
• ✅ 强制全站 HTTPS，包括所有子域名；
• 🚀 提高网站在安全评级平台（如 Mozilla Observatory、SSL Labs）上的评分；
• 🔐 给用户更安全的浏览体验；
• 💡 更有助于 SEO：Google 明确表示支持 HTTPS 安全站点。

六、常见问题

Q: 提交后多久会生效？
A: Chrome 通常在 8~12 周内更新 preload 列表，其他浏览器视更新频率而定。

Q: 配置错误了怎么办？
A: HSTS Preload 是不可逆的，一定要确保配置无误，否则可能导致访问失败。如果不确定，先测试一段时间再提交。

结语：建议所有站长开启 HSTS Preload

如果你已经启用了 HTTPS，下一步就是启用 HSTS Preload。通过 hstspreload.org 的检测与提交，你可以进一步提升网站的安全级别，保护用户数据安全，同时对 SEO 也有积极作用。

现在就去检测你的网站，加入全球浏览器的“强制 HTTPS”阵营吧！