HSTS预加载与子域治理

HSTS预加载与子域治理概览HSTS 通过响应头强制浏览器仅以 HTTPS 访问站点，防止降级与中间人攻击。预加载清单使浏览器在首访前即将站点视为 HTTPS-only，需谨慎评估子域覆盖。迁移阶段治理重定向与混合内容，确保子域与第三方依赖完全兼容。技术参数（已验证）响应头：`Strict-Transport-Security: max-age=31536000; includeSubDomains; preload`；提交预加载需满足强制 HTTPS 与子域覆盖。预加载：在官方清单提交域名并通过验证；撤销需要较长周期并要求全站一致性。兼容：确保所有子域与根域启用有效 TLS；关闭 HTTP 明文端口或重定向到 HTTPS。配置：短期试运行可先不包含 `includeSubDomains/preload`；稳定后再提交清单。观测：监控证书到期、重定向链与混合内容；建立告警与发布检查。实战清单先在根域与关键子域启用 HSTS 并验证兼容，再扩大到子域与预加载。完成预加载清单提交与持续审计；在证书与依赖变更时进行回归验证。建立混合内容扫描与重定向检查，持续优化。Importance: 提升 HTTPS 覆盖与强制性，降低降级与攻击面。