設定 HTTP 嚴格傳輸安全 (HSTS)
您可以在回應標頭中指定「HTTP 嚴格傳輸安全 (HSTS)」,以便您的伺服器向用戶端通告它只接受 HTTP 要求。 您可以將任何非 HTTPS 要求重新導向至啟用 SSL 的虛擬主機。
開始之前
- 如果 SSL/TLS 由 IBM HTTP Server (IHS) 之前的裝置終止,且 IBM HTTP Server 未配置 SSL/TLS ,則下列程序不適用。 相反地,您必須在終止 SSL/TLS 的裝置上配置「HTTP 嚴格傳輸安全」。 如需「HTTP 嚴格傳輸安全」的相關資訊,請參閱 RFC 6797 第 7 節。
- 定義您的 HSTS 原則只適用於網域,還是包含子網域。
- 決定該網域是否可以列在預先安裝在用戶端中的已知 HSTS 主機清單中。
- 決定用戶端多久可以快取指出該網域是 HSTS 主機的資訊。
- 限制: 伺服器不會將 HSTS 標頭新增至 HTTP 304 (未修改) 回應。 這些回應用來驗證快取即時性。 除非用戶端存取伺服器上至少一個未快取 (或陳舊) 的資源,否則它不會看到 HSTS 標頭。
- 只有在用戶端連接至 HTTP (埠 80) 及 HTTP (埠 443) 的預設埠時, HSTS 才會運作。 如果您在 IBM HTTP Server 配置中使用非預設埠,則需要使用使用預設埠的其他前端裝置。 在 IBM HTTP Server 與用戶端之間放置其他前端裝置。 例如:
client ----> load balancer (ports 80 and 443) ----> IHS (other ports)