是否有必要将自己的网站从 HSTS Preload List 中删除？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3015 天前的主题，其中的信息可能已经有所发展或是发生改变。

刚才在 https://cs.chromium.org/chromium/src/net/http/transport_security_state_static.json 这个列表里面看到自己的小破站，惊出一身冷汗，我从来都没有提交过添加申请，怎么就被收录了。万一我以后不想用 HTTPS 还不得搞死。

于是我立刻发邮件申请删除，现在事后冷静下来，觉得加入也没啥，比较 Chrome 的源码里有了我的破站也是很有意思的事情。所以问问大家，你们觉得是加还是不加 HSTS Preload List

24 条回复 • 2016-08-16 17:54:58 +08:00

DoraJDJ

2016-08-14 15:11:28 +08:00 via Android

你想你的网站被运营商劫持加上些奇怪的东西进去吗？

crazycen

2016-08-14 15:17:49 +08:00 via iPhone

加了，你以后的子域名就要 https 。我已经加了，于是弄个了野卡 ssl

ewBuyVmLZMZE

2016-08-14 15:26:08 +08:00

@crazycen 野卡太贵啦，买不起，穷人。

RqPS6rhmP3Nyn3Tm

2016-08-14 15:30:16 +08:00

@syhily AlphaSSL 有免费的 wildcard
显然个人用户不会有几个子域的，所以我还是安心用 LE

mornlight

2016-08-14 15:31:08 +08:00

你的域名是不是之前被别人用过

6IbA2bj5ip3tK49j

2016-08-14 15:44:52 +08:00 via Android

@BXIA 没听说过免费的野卡啊。

dynos01

2016-08-14 15:49:09 +08:00 via iPad

没加，虽然现在所有子域都是 https 而且有 wildcard 证书，但有的时候不得不用 http

davidyin

2016-08-14 16:05:46 +08:00

已经把能加入的，都加入了。只要条件允许， https 是一个加分项。

RqPS6rhmP3Nyn3Tm

2016-08-14 16:07:41 +08:00

@xgfan https://github.com/Vittfarne/ASSL

crazycen

2016-08-14 16:30:02 +08:00

有免费一年的野卡。子域名用的野卡。

ZE3kr

2016-08-14 16:38:55 +08:00 via iPhone

@xgfan https://assl.loovit.net

LE 在 beta 拿掉后限制很少的，一张证书 100 个域名，一周几乎就是签无限次。

不过 HSTS 确实比较坑，非 443 端口也 https ，导致我偶尔跨域什么都需要 http 也不行，无奈只能多买几个域名，留几个不开 preload 和 includesubdomain ，也算给自己留个后门吧

删 Preload 过程不是特别麻烦，以后随时删也行。