淺談 HTTP Strict Transport Security (HSTS)

在資安越來越重要的現在,如何提升網站安全性是很重要的議題,今天將簡單介紹 HTTP Strict Transport Security(簡稱 HSTS),讓你有個初步的了解並知道如何使用它

HSTS 是一個透過在 HTTP Response Header 中設定的安全機制,它可以強制使用者在未來訪問網站時一定要使用 HTTPS 協定,並且當網站憑證出問題時,使用者不可以忽略警告而繼續訪問網站

淺談 DNS Certification Authority Authorization (CAA)

最近在將 VPS 從 DigitalOcean 轉移到 Linode 時,發現了 DNS CAA 這個規範,研究了以後,覺得應該是未來改善 https 安全性很有用的一個規範,因此想簡單的介紹一下。

在安全是一個越來越重要的議題下,大部分的網站都會使用 https 來確保使用者與網站之間資料的隱私與完整性,那麼,選擇了一個可靠的憑證機構是否就代表沒問題了?不盡然,Symantec 誤發 google.com 延伸認證 就是一個例子,除了請該憑證機構撤銷外,我們還可以採取什麼措施來保護自己的網站呢?DNS CAA 就是其中一個方法。

初探 Let’s Encrypt

第一次知道 Let’s Encrypt 是在今年九月初左右,當時看到這計畫覺得非常開心,心想,未來網站連線將會更加安全(終於不用花錢買憑證了),再加上自動化的安裝,可以讓一般使用者也無痛使用,因此,從那時起,就期待著正式上線。

時間來到了十二月初,Let’s Encrypt 終於進入 Public Beta 了,儘管有著自動化的安裝,但身為資工的學生,當然要自己摸索過一次囉,因此,本文章就順勢誕生啦(不過好像已經十二月底了)。


教學將分為以下幾點