提醒:本文最后更新于 3733 天前,文中所描述的信息可能已发生改变,请仔细核实。
WordPress 4.5.1 版本修复了 12 个问题。感觉都还好,详见发行注记。
博客域名于2016-04-20全面启用HSTS(HTTP Strict Transport Security),申请加入HSTS Preload List中,现已过了1个星期。据Jerry Qu说,他大概花了三周,才加到这个列表里;然后又等了两个月,才进 Chrome 主版本。
HTTPS一直在用,因为子域很多是HTTP,所以一直没启用HSTS。现在子域也全面HTTPS化了,所以就把HSTS加进来,顺便申请HSTS Preload,它的功能相当于以前需要服务器做301跳转HTTP到HTTPS,现在直接在浏览器内部完成这一步。因为HSTS实际也只是个header,也就是说成功使用HSTS的前提条件有两个,用户必须在之前成功用HTTPS访问过网站,浏览器支持HSTS协议。
两天前,在https-everywhere申请加入规则,已通过,详见传送门。
转载请注明转自: kn007的个人博客 的《更新至WordPress 4.5.1,申请加入HSTS Preload List》


逼格满满
@bison:

你早上起床好早呀!
@ian: 还好啦
HSTS是什么? 但看字面意思 “更安全的传输方式”吗
@World: 其实就是个头。
我是弄不来。。就不要S了。

@siyochen:
你这纯碎是懒。
对虚拟主机来说是不是有点麻烦,所以还是。。。呵呵。。
@郑永:
可以参照坛子兄,用上cloudflare的cdn,它可以帮你加上ssl 
@夏天烤洋芋: 你这算是不明觉厉
怎么申请加入https-everywhere的列表呢?
@穹庐: PR啊
昨天搞了下失败了,日了狗。
@大雄: 哈,升级失败?
懒得申请进HSTS列表。。怕退回,用UPYUN,给我发回了一周的HSTS头。。
我用的SSL证书是沃通DV,10年,找bug发下来的。
@asd: 好吧。。。哈哈
www子域名不能加入HSTS Preload List,如何加入?
@pcfun: 只要主域有includeSubDomains即可,所有子域名会auto2https。
@pcfun: 具体见图片:
http://ww3.sinaimg.cn/large/9160da2egw1f7vtjj2vnkj20a904k3yr.jpg
@kn007: 看了你的站子域名 www 也没有符合HSTS要求,在这看的 https://hstspreload.appspot.com/?domain=www.kn007.net ,我也是这一项不符合,不知为什么。
@pcfun: 你不看解释的吗?
`www.kn007.net` is a subdomain. Please preload `kn007.net` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)
@pcfun: 真正不符合是这样显示的(为了这张图,我还特意去掉HSTS和redirect):
http://ww1.sinaimg.cn/large/9160da2egw1f7wdx4za68j20py07ytba.jpg