近年來隨著 Google、Apple、百度等公司不斷推動 HTTPS 普及，全網 HTTPS 已是大勢所趨。目前多數網站都已經支援 HTTPS 訪問，但是在由 HTTP 轉向 HTTPS 路程中，不少網站依然會面臨很多問題。

通常使用者準備訪問某個網站時，不會在輸入的域名前面加上 http:// 或者 https://，需要瀏覽器自動填充，而瀏覽器預設填充的都是 http://，需要網站採用 301/302 跳轉的方式，由 HTTP 跳轉到 HTTPS。 
 
301 跳轉 
由於 301/302 跳轉增加了瀏覽器與伺服器的互動，增長使用者訪問與等待時間，會影響使用者體驗，並且跳轉的過程容易發生劫持，遭受第三方攻擊。

當用戶訪問到不安全的 HTTPS 網址時，瀏覽器雖然會提示使用者訪問的網站不安全，但是還是允許使用者在瞭解安全風險之後繼續訪問，導致使用者面臨資料洩密的風險。 
 
HTTP 劫持 
 
網站不安全提醒

HSTS 強制開啟 HTTPS 保障資料安全 
HSTS（HTTP Strict Transport Security，RFC6797），即 HTTP 嚴格安全傳輸，是國際網際網路工程組織 IETF 正在推行一種新的 Web 安全協議。

網站採用 HSTS 後，使用者訪問時無需手動在位址列中輸入 HTTPS，瀏覽器會自動採用HTTPS 訪問網站地址，從而保證使用者始終訪問到網站的加密連結，保護資料傳輸安全。同時只要瀏覽器曾經與伺服器建立過一次安全連線，之後瀏覽器會強制使用 HTTPS，即使連結被換成了 HTTP。

當連結非 HTTPS 時，使用者也無法忽略瀏覽器不安全提示，無法繼續訪問不安全連結，可以進一步保護使用者的資料安全。 
 
連結不安全提醒

開啟 HSTS 後，在 ssllabs 上進行測試，網站的安全等級會從A升級至A+ 
開啟前等級為：A 
 
開啟後等級變為：A+ 
Chrome、Safari、Firefox等瀏覽器都已經開始相繼支援 HSTS，下圖為各大瀏覽器對HSTS的支援情況（對於不支援的瀏覽器，又拍雲會忽略此響應頭，對使用者的訪問無影響）： 
 
瀏覽器支援情況

總結 
對於那些安全性要求較高的網站，啟用 HSTS 無疑是不錯的選擇。當用戶訪問網站域名時，都能夠讓使用者使用 HTTPS 來請求網站資源，可以更加有效地保護網站和使用者的資料安全，並且減少使用者等待 301/302 的跳轉時間，帶來更好的使用者體驗。

又拍雲 HTTPS 憑藉全球200+節點及伺服器，實現應用層通訊加密訪問，同時使用多種加速技術，減少HTTPS 延遲載入，通過對請求進行壓縮、優先順序排列等方式，降低網頁載入時間。 

來自：upyun.com