根据RFC6797-[..]"HSTS 主机不得在通过非安全传输传输的 HTTP 响应中包含 STS 标头字段。"https://www.rfc-editor.org/rfc/rfc6797#page-18
我的问题是 - 如果客户端尝试通过不安全的 HTTP(例如 TCP 端口 80(访问主机,并且服务器实施了 HSTS 策略,则服务器必须通过安全传输使用 HSTS 策略标头进行响应。现在将安全传输视为 SSL - SSL 密钥交换和握手何时发生,以便客户端通过安全传输/SSL 解密服务器响应?
https://www.ssl2buy.com/wiki/http-strict-transport-security-hsts-better-security-for-applications 链接很好地解释了HSTS策略的实施,但我无法将其放在一起SSL握手是如何发生的。
HSTS与SSL握手无关。
它只是意味着如果浏览器被指示去 http://www.example.com,那么就好像他们被指示去 https://www.example.com 一样。
SSL 协商发生在之后 - 就像他们直接进入 https 版本一样。