HSTS 应该至少 180 天,为什么?
HSTS should be minimum 180 days, why?
我在 ssllabs 上测试了我的网站。
我启用了 HSTS 90 天,因为我不知道我将使用 SSL 多长时间,而我当前的证书将在 89 天后到期。
现在我收到了警告:
TOO SHORT (less than 180 days) max-age=7776000
这让我想知道,为什么最短为 180 天。长 HSTS 背后的原因是什么?
越长越好,SSLLabs 已决定 180 天是他们足够安全的阈值。如果您是一个较小的网站,很可能有人不会在 90 天 window 内再次访问,因此他们不会受到 HSTS 的保护。如果您已经拥有 90 天,您不妨将其设置为一年或更长时间,因为您不能在此之后关闭 TLS。请记住,这不是您启用 HSTS 后的 90 天,而是从给定浏览器最后一次访问后的 90 天。
我在 ssllabs 上测试了我的网站。 我启用了 HSTS 90 天,因为我不知道我将使用 SSL 多长时间,而我当前的证书将在 89 天后到期。
现在我收到了警告:
TOO SHORT (less than 180 days) max-age=7776000
这让我想知道,为什么最短为 180 天。长 HSTS 背后的原因是什么?
越长越好,SSLLabs 已决定 180 天是他们足够安全的阈值。如果您是一个较小的网站,很可能有人不会在 90 天 window 内再次访问,因此他们不会受到 HSTS 的保护。如果您已经拥有 90 天,您不妨将其设置为一年或更长时间,因为您不能在此之后关闭 TLS。请记住,这不是您启用 HSTS 后的 90 天,而是从给定浏览器最后一次访问后的 90 天。