HSTS预加载与子域治理

# HSTS预加载与子域治理 ## 概览 - HSTS 通过响应头强制浏览器仅以 HTTPS 访问站点，防止降级与中间人攻击。 - 预加载清单使浏览器在首访前即将站点视为 HTTPS-only，需谨慎评估子域覆盖。 - 迁移阶段治理重定向与混合内容，确保子域与第三方依赖完全兼容。 ## 技术参数（已验证） - 响应头：`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`；提交预加载需满足强制 HTTPS 与子域覆盖。 - 预加载：在官方清单提交域名并通过验证；撤销需要较长周期并要求全站一致性。 - 兼容：确保所有子域与根域启用有效 TLS；关闭 HTTP 明文端口或重定向到 HTTPS。 - 配置：短期试运行可先不包含 `includeSubDomains/preload`；稳定后再提交清单。 - 观测：监控证书到期、重定向链与混合内容；建立告警与发布检查。 ## 实战清单 - 先在根域与关键子域启用 HSTS 并验证兼容，再扩大到子域与预加载。 - 完成预加载清单提交与持续审计；在证书与依赖变更时进行回归验证。 - 建立混合内容扫描与重定向检查，持续优化。 - Importance: 提升 HTTPS 覆盖与强制性，降低降级与攻击面。