为网站启用 HSTS 支持

HSTS（HTTP Strict Transport Security，HTTP 严格传输安全）是一种网站安全策略机制，它强制浏览器仅通过加密的 HTTPS 连接与服务器通信交互，杜绝使用不安全的 HTTP。它有效防止中间人攻击、SSL 剥离攻击和 Cookie 劫持，保障数据安全，提升访问速度与体验。

在 aaPanel 面板/宝塔面板左侧的菜单栏，网站 ->网站列表 -> 需要开启 HSTS网站 -> 配置文件（Conf），点击“配置”，找到 server 块内部（通常放在 SSL 配置附近，或 listen 443 ssl 之后）。将以下配置代码粘贴进去，若有类似代码请务必删除或注释掉——

add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

代码解释：
max-age=63072000：告诉浏览器在未来两年内，强制使用HTTPS访问该网站（单位：秒）
includeSubDomains：该策略同时适用于当前域名的所有子域名
preload：允许将域名提交至浏览器内置 HSTS 预加载列表（Chrome、Firefox、Safari、IE 11 和 Microsoft Edge 等主流浏览器共享此列表）

点击 保存 即可。保存后，你可以通过浏览器的开发者工具（按F12，查看网络请求的响应头）来验证是否生效 。

温馨提醒：一旦启用 HSTS 支持，若 HTTPS 证书配置不正确或到期未更新，HSTS 会让浏览器强制拦截连接，用户无法通过点击“依然访问”的选项跳过告警错误，导致网站在设置的 max-age 期间对用户不可用，也无法降级至 HTTP 访问网站。若需删除请访问 https://hstspreload.org/removal 。

提交域名至 HSTS 预加载列表

请确保网站能够通过 HTTPS 正常访问且稳定运行一段时间，同时，网站能自动重定向 HTTP 到 HTTPS，此外，所有的子域名都能使用 HTTPS 进行访问。

按照上文正确设置 HSTS 后，访问上述网址，在“Submission Form”输入已开启 HSTS 支持的域名，如 meledee.com，并提交。系统会自动校验，若符合条件会允许提交。

勾选下方的“I understand that preloading meledee.com through this form will prevent all subdomains and nested subdomains from beingaccessed without a valid HTTPS certificate:”并点击“Submit meledee.com to the HSTS preload list”按钮，显示提交成功。

过几周后，再次访问网址可查看列表的最新收录状态。以我的网站 meledee.com 为例，若显示 Status: meledee.com is currently preloaded. ，则代表已将域名提交至 HSTS 预加载列表。

提交域名至 HSTS 预加载列表，我的网站 meledee.com 遇到以下两个错误提示：

问题一：Warning: Unnecessary HSTS header over HTTP Error: www subdomain does not support HTTPS.

aaPanel 面板/宝塔面板的配置文件编写逻辑有误，需修改原配置文件 ，正确代码如下，记得将 meledee.com 修改成您的网站——

server
{
listen 80;
server_name meledee.com www.meledee.com;
return 301 https://$host$request_uri;
}

问题二：Domain error: The www subdomain exists, but we couldn't connect to it using HTTPS.

故障原因是 www 子域名未使用 HTTPS。在 aaPanel 面板/宝塔面板左侧的菜单栏，网站 ->网站列表 -> 需要开启 HSTS网站 -> 配置文件（Conf），找到域名域名，确保主域名 meledee.com 存在之外，还需添加 www.meledee.com。

切换 SSL 选项卡，删除原有 SSL 证书，重新申请，确保证书域名包含 meledee.com，www.meledee.com。