根据RFC6797- [..]" HSTS主机不得在通过非安全传输传输的HTTP响应中包含STS头字段。" [..] https://tools.ietf.org/html/rfc6797#page-18
我的问题是 - 如果客户端试图通过非安全HTTP(例如TCP端口80)访问主机并且服务器实现HSTS策略,则服务器必须通过安全传输以HSTS策略头响应。 现在将安全传输视为SSL - SSL密钥交换和握手何时发生,客户端是否通过安全传输/ SSL解密服务器响应?
https://www.ssl2buy.com/wiki/http-strict-transport-security-hsts-better-security-for-applications链接很好地解释了HSTS策略的实现,但我无法将SSL握手的发生方式整合在一起。
答案 0 :(得分:1)
HSTS与SSL握手无关。
这只是意味着是否指示浏览器转到http://www.example.com,然后表现为他们被指示转到https://www.example.com。
之后发生SSL协商 - 就像他们直接转到https版本一样。