Topik ini menjelaskan cara mengonfigurasi HTTP Strict Transport Security (HSTS). Setelah mengonfigurasi HSTS, klien seperti browser hanya dapat membangun koneksi HTTPS ke titik kehadiran (POPs), meningkatkan keamanan.
Prasyarat
Sertifikat SSL telah dikonfigurasi. Untuk informasi lebih lanjut, lihat Konfigurasikan sertifikat SSL.
Informasi latar belakang
HSTS adalah mekanisme kebijakan yang memungkinkan situs web hanya menerima koneksi HTTPS.
Setelah mengonfigurasi HSTS, saat pertama kali klien terhubung ke POP melalui HTTPS, POP menggunakan header respons untuk memberi tahu klien bahwa hanya Permintaan HTTPS yang diizinkan selama periode waktu tertentu dan memblokir permintaan HTTP. Header respons HSTS berada dalam format Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]. Tabel berikut menjelaskan parameter-parameter tersebut.
Parameter | Deskripsi |
max-age | TTL (time-to-live) dari header HSTS. Unit: detik. Klien hanya dapat memulai Permintaan HTTPS selama periode ini. |
includeSubDomains | Opsional. Jika Anda mengonfigurasi parameter ini, HSTS diaktifkan untuk nama domain dan subdomainnya. |
preload | Opsional. Parameter ini memungkinkan Anda menambahkan nama domain ke daftar preloaded HSTS browser. |
Klien menggunakan HSTS untuk nama domain hingga TTL yang ditentukan oleh parameter max-age kadaluarsa. Selama TTL, Permintaan HTTP diblokir dan dialihkan menjadi Permintaan HTTPS.
Setelah mengaktifkan HSTS, POP mengarahkan ulang Permintaan HTTP pertama yang dimulai oleh klien ke HTTPS dengan Kode Status HTTP 301 untuk mencegah risiko keamanan karena pengaturan HSTS belum disinkronkan ke klien.
Batasan
Setelah mengonfigurasi HSTS, klien hanya dapat mengakses POP melalui HTTPS. Jangan mengonfigurasi pengalihan URL ke HTTP pada saat yang sama.
HSTS hanya berlaku untuk nama domain dan tidak berlaku untuk alamat IP.
HSTS berlaku pada klien. Menonaktifkan HSTS tidak segera berlaku. Anda perlu menyegarkan status HSTS dan mengirimkan status HSTS ke klien ketika klien memulai Permintaan HTTPS berikutnya.
Prosedur
Masuk ke Alibaba Cloud CDN.
Di panel navigasi kiri, klik Domain Names.
Pada halaman Domain Names, temukan nama domain yang ingin Anda kelola dan klik Manage di kolom Actions.
Di pohon navigasi kiri nama domain, klik HTTPS.
Di bagian HSTS, klik Modify.Modify
Dalam kotak dialog Configure HSTS, aktifkan HSTS, dan konfigurasikan parameter Expire In dan Include Subdomains.
Expire In: Tentukan TTL untuk header respons HSTS yang ingin Anda simpan di browser. Kami merekomendasikan Anda mengatur nilainya menjadi 60. Unit: hari. Jika Anda mengatur nilai menjadi 0, HSTS dinonaktifkan.
Include Subdomains: Pastikan HTTPS diaktifkan untuk semua subdomain dari nama domain yang dipercepat sebelum Anda menghidupkan sakelar ini. Jika Anda tidak mengaktifkan HTTPS untuk semua subdomain dari nama domain yang dipercepat, subdomain tersebut tidak dapat diakses setelah permintaan dialihkan ke HTTPS. Lanjutkan dengan hati-hati.
Klik OK.