据我所知,HTTPS请求是在初始握手期间使用服务器提供的公钥加密的常规HTTP请求。
我一直在阅读有关HSTS的内容,但未能找到与预加载的HSTS列表中的网站的公钥相关的任何内容。这些网站的公钥是否也已预先加载?或者,这个密钥是由服务器在初始握手时发送的,就像在任何HTTPS请求中一样?
答案 0 :(得分:2)
是服务器在初始握手时发送的密钥,就像任何HTTPS请求一样?
是。 HSTS只是说“总是在这个域中使用HTTPS,因此在发送之前自动更正任何http://调用https://”。
它没有说明如何设置HTTPS连接,这是通过通常的方式完成的。