我在ssllabs对我的网站进行了测试。 我启用了HSTS 90天,因为我不知道我将使用SSL多长时间,而且我目前的证书在89天内结束。
现在我收到了警告:
太短(少于180天)max-age = 7776000
这让我感到疑惑,为什么最少180天。什么是长HSTS背后的推理?
答案 0 :(得分:1)
越长越好,SSLLabs已经确定180天是他们足够安全的门槛。如果您是一个较小的网站,很可能有人不会再访问90天的窗口,因此他们不会受到HSTS的保护。如果您已经在90天内使用它,那么您可以将其设置为一年或更长时间,因为此后您无法关闭TLS。请记住,距您启用HSTS的90天后,距离上次访问指定浏览器的时间为90天。