欢迎光临
我们一直在努力

把域名加入到HSTS Preload List

说起来也是够倒霉的,前两天为了搭建一个Mastodon特地去注册了一个新域名,结果全部部署好了之后发现http不能301跳转到https,Chrome浏览器提示“连接已重置”

其实看到“连接已重置”我基本就意识到这域名是中奖了,上一个主人估计是做了什么坏事。。。

但还是有点不甘心,仔细排查了一下,确认环境配置是肯定没问题的。

挂梯子能正常从http跳转到https。关掉梯子,绑了一个别的域名到服务器上,访问也没问题。

PING服务器IP也是正常,TCPPING服务器80端口也是正常。

但是只要用这个中奖的域名访问浏览器就会提示“连接已重置”。

并且此时TCPPING服务器80端口的延迟也会出问题,明显的延迟会有大幅度的变化。

OJBK,可以肯定这个域名是炸了,HTTP阻断,然后用这个网站查了一下历史的DNS更改记录:

https://completedns.com/dns-history/

19年的时候就有DNS改动,说明这域名之前就被人注册过了,至于拿来干了什么,我后续又去这个网站查了一下:

https://web.archive.org/

很可惜啥也没查到,只能说以后注册域名真的要特别小心了,这NMD一不小心就掉坑里面去了。。

最蛋疼的是Mastodon这个程序换不了域名,要是别的程序再买一个新的域名换上去就行了。

好在这个域名只是HTTP阻断,不是DNS污染。有几个解决办法,考虑了一下,我选择把域名加入HSTS Preload List。

打开这个网站检测是否符合条件加入:

https://hstspreload.org/

加入的话需要满足几个条件:

1.网站此时有一个有效的SSL证书。

2.网站此时是将HTTP跳转到HTTPS的。

3.如果域名还有其他子域名,这些域名也全部要是HTTPS。

4.在WEB服务器上配置HSTS标头。

前3个条件都很好满足,用Certbot一键签发证书就完事了,主要是第4个条件。

我是Nginx反代Mastodon,所以编辑一下nginx的配置文件,在所有需要的地方加入如下标头:

add_header Strict-Transport-Security: "max-age=63072000; includeSubDomains; preload";

配置好了之后别忘了重载了一下nginx:

systemctl reload nginx

之后重新检测,如果正常的话,可以看到下面的提交页面:

成功的话会有下面的页面回显:

然后就是漫长的等待过程了,可以看看这个列表,如果这个列表里面有你的域名了,那就说明各个浏览器差不多都支持了:

https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json

最后,GFW NMSL

LALA

我什么都不卖了,告辞!

赞(0)
未经允许不得转载:拆东墙 » 把域名加入到HSTS Preload List

评论 抢沙发

登录

找回密码

注册