Google域名支持HSTS机制，强制访问HTTPS安全协议

近日，Google官方博客宣布其域名Google.com支持HSTS。

HSTS代表HTTP Strict Transport Security ，是国际互联网工程组织IETE正在推行一种新的Web安全协议，它是一种帮助网站将用户从不安全的HTTP版本重定向到安全的HTTPS版本的机制。如果你访问的网站启用了HSTS，那么浏览器将会记住这一标记，确保未来每次访问该网站都会自动定向到HTTPS，不会在无意中访问不安全的HTTP。

HSTS可以很大程度上解决SSL剥离攻击，因为只要浏览器曾经与服务器创建过一次安全连接，之后浏览器会强制使用HTTPS，即使链接被换成了HTTP。

另外，如果中间人使用自己的自签名证书来进行攻击，浏览器会给出警告，但是许多用户会忽略警告。HSTS解决了这一问题，一旦服务器发送了HSTS字段，用户将不再允许忽略警告。

文章关键词：HSTS，文章链接：http://www.wosign.com/News/Google-HSTS.htm

相关资讯：

YouTube宣布已完成97%的链接HTTPS加密

谷歌发起证书透明度,提高HTTPS网站安全性

谷歌Chrome将为所有 HTTP网站打红叉

为保护用户隐私安全,谷歌优先索引HTTPS网页

Google Blogger默认启用HTTPS加密链接