Cloudflare 关于 HSTS 的警告是否言过其实?
Are Cloudflare's warnings about HSTS overblown?
Cloudflare 向我提供的关于启用 HSTS 的警告既冗长又充满可怕的警告,描述了一些情况,在这些情况下我的用户将无法访问我的网站长达 6 个月(即永远)。 example here
在我看来,触发这些事情的唯一方法是禁用 HTTPS/SSL - 现在是 2020 年,I/anyone 为什么要这样做?
在一个应该随处启用 SSL 的世界里,这些警告是否言过其实了?假设我没有关闭 SSL - 我可以启用它并开心吗?
我认为 HSTS 很好,应该使用,但我讨厌这些在线教程说只是打开它而不警告错误的后果。我有一个 blog post 讨论像这样的“危险网络安全功能”和 HPKP 甚至 CSP。
是的,我们正越来越多地转向 HTTPS 世界,您是对的,如果您已经切换,这应该是低风险的。
但是,可能会错过场景并导致问题。
例如,如果您没有在任何地方启用 SSL,我们只会考虑您的主要网站。例如,您在 TLD (example.com) 上启用它或预加载它,以及 www 版本 (www.example.com),但您还在没有 SSL 的其他地方重用该域(例如 intranet.example.com 或 dev.example.com 或 oldapp.example.com),那么它们将停止工作。
Google 过去 maintain a list of those preloading HSTS who regretted it 因为他们没有考虑周全,或者因为网络开发人员认为他们在保护网站方面做得很好,但破坏了其他东西。
所以我认为发出警告并不过分。
对于一个全新的网站,除非有充分的理由不这样做,否则我会从一开始就使用 HSTS。
Cloudflare 向我提供的关于启用 HSTS 的警告既冗长又充满可怕的警告,描述了一些情况,在这些情况下我的用户将无法访问我的网站长达 6 个月(即永远)。 example here
在我看来,触发这些事情的唯一方法是禁用 HTTPS/SSL - 现在是 2020 年,I/anyone 为什么要这样做?
在一个应该随处启用 SSL 的世界里,这些警告是否言过其实了?假设我没有关闭 SSL - 我可以启用它并开心吗?
我认为 HSTS 很好,应该使用,但我讨厌这些在线教程说只是打开它而不警告错误的后果。我有一个 blog post 讨论像这样的“危险网络安全功能”和 HPKP 甚至 CSP。
是的,我们正越来越多地转向 HTTPS 世界,您是对的,如果您已经切换,这应该是低风险的。
但是,可能会错过场景并导致问题。
例如,如果您没有在任何地方启用 SSL,我们只会考虑您的主要网站。例如,您在 TLD (example.com) 上启用它或预加载它,以及 www 版本 (www.example.com),但您还在没有 SSL 的其他地方重用该域(例如 intranet.example.com 或 dev.example.com 或 oldapp.example.com),那么它们将停止工作。
Google 过去 maintain a list of those preloading HSTS who regretted it 因为他们没有考虑周全,或者因为网络开发人员认为他们在保护网站方面做得很好,但破坏了其他东西。
所以我认为发出警告并不过分。
对于一个全新的网站,除非有充分的理由不这样做,否则我会从一开始就使用 HSTS。