hstspreload.org

一句话介绍

hstspreload.org 是一个由 Google Chrome 团队维护的免费公共工具，专门用于将网站域名提交到各大浏览器的 HSTS 预加载列表。一旦成功加入该列表，所有主流浏览器（Chrome、Firefox、Edge、Safari 等）都会强制通过 HTTPS 访问该域名，彻底杜绝任何 HTTP 明文连接的风险。对于追求极致安全、想要彻底关闭 HTTP 端口的网站管理员来说，这是一个零成本的“终极 HTTPS 锁”。

业务详解

hstspreload.org 本身并非一家商业公司或服务商，而是 Google 为 Chromium 项目提供的一个官方提交门户。其核心业务是接收网站所有者提交的域名，经过严格验证（包括检查 HSTS 头、重定向链、子域名覆盖等）后，将该域名加入 Chromium 的 HSTS 预加载列表。这份列表随后会被同步到 Chrome、Firefox、Edge、Safari、Opera 等主流浏览器。该服务自 2015 年左右上线以来，已成为全球最权威的 HSTS 预加载入口，行业地位无可替代。客户类型涵盖个人博客、中小企业官网、大型互联网平台，只要是希望彻底强制 HTTPS 并提升 SEO 排名的站长都可能用到。

适合谁用

hstspreload.org 主要面向两类用户：一是已经正确配置了 HTTPS 并设置了 HSTS 头的网站管理员，二是希望彻底关闭 HTTP 端口、防止中间人攻击的安全敏感型站点。对于个人博客或小型企业官网，如果已经部署了 SSL 证书并希望获得“浏览器地址栏绿色锁”的最高信任，提交预加载是性价比最高的选择。对于大型电商、金融、政务类网站，预加载更是标配，能有效防止用户因输入 HTTP 地址而被劫持。不过，该服务不适合尚未完全迁移到 HTTPS、或需要保留 HTTP 用于兼容老旧设备的网站，因为一旦加入列表就几乎无法撤销（撤销流程极其繁琐且需等待数月）。

关键功能与亮点

• 完全免费：提交域名到 HSTS 预加载列表无需任何费用，甚至无需注册账号。
• 全球浏览器兼容：一次提交，永久生效于 Chrome、Firefox、Edge、Safari 等主流浏览器。
• 强制 HTTPS 零妥协：浏览器直接拒绝任何 HTTP 连接，无需等待 HSTS 头过期，彻底杜绝降级攻击。
• 自动检查工具：提交前会实时扫描域名是否满足预加载条件（如 HSTS 头、重定向链、子域名覆盖等）。
• 透明公开的列表：所有提交记录和列表更新都通过 Chromium 开源仓库公开，可追溯、可验证。
• 提升 SEO 与用户信任：强制 HTTPS 是 Google 排名信号之一，绿色锁图标也能增加用户点击信心。

价格分析

hstspreload.org 的价格是零元，完全免费。它没有任何隐藏费用，也不需要购买任何附加服务。在同类工具中，这属于“免费且权威”的定位。相比之下，一些第三方安全服务商（如 Cloudflare 的 SSL 设置、某些 CDN 的强制 HTTPS 功能）虽然也提供类似效果，但通常需要付费订阅套餐。hstspreload.org 是唯一一个由浏览器厂商直接维护的官方提交入口，性价比无可匹敌。唯一的“成本”是网站本身的技术改造时间——你需要确保 HTTPS 配置正确、HSTS 头设置无误，并且愿意接受一旦加入就几乎不可逆的后果。

中国用户怎么用

hstspreload.org 的官网（hstspreload.org）在国内可以直接访问，无需科学上网，加载速度尚可。整个提交过程完全基于浏览器端，不涉及支付环节，因此不存在支付方式限制。中国用户只需确保自己的网站已正确部署 HTTPS 证书（国内主流云厂商如阿里云、腾讯云、华为云均提供免费 SSL 证书），然后在网站上设置好 Strict-Transport-Security 响应头（建议 max-age 至少 31536000，并包含 includeSubDomains 和 preload 指令），再访问 hstspreload.org 输入域名并点击“提交”即可。需要提醒的是，提交后 Google 的审核机器会从海外 IP 访问你的网站，如果你的服务器屏蔽了海外 IP 或 CDN 配置了区域限制，可能导致验证失败。国内目前没有完全对等的替代品，因为 HSTS 预加载列表由浏览器厂商控制，无法由国内服务商独立实现。

优缺点对比

优点

• ✅ 完全免费，零成本入门
• ✅ 由 Google Chrome 团队维护，权威性最高
• ✅ 一次提交，全球浏览器长期生效
• ✅ 无需注册账号，操作简单直观
• ✅ 能显著提升网站安全等级和 SEO 表现

缺点

• ❌ 一旦提交成功，几乎无法撤销（撤销需数月且需联系 Chromium 团队）
• ❌ 要求网站必须 100% 支持 HTTPS，无法保留 HTTP 备用入口
• ❌ 审核过程依赖海外 IP 访问，国内部分 CDN 或服务器配置可能需要调整
• ❌ 不支持子域名单独提交，必须覆盖整个域名及其所有子域名
• ❌ 提交后没有实时进度通知，只能通过查看公开列表了解是否已生效

同类产品对比

• Cloudflare SSL/TLS 设置：Cloudflare 的“Always Use HTTPS”和“HSTS Preload”功能与 hstspreload.org 效果类似，但需要注册 Cloudflare 账号并开启代理。Cloudflare 的优势是配置更灵活（可随时关闭），劣势是依赖其 CDN 服务，且免费版功能有限。
• Let's Encrypt + 手动 HSTS 头：Let's Encrypt 提供免费 SSL 证书，但强制 HTTPS 需要站长自行设置 HSTS 头并等待浏览器缓存。相比 hstspreload.org 的“一次提交永久生效”，这种方式生效慢且容易被中间人劫持。
• SSL Labs 的 HSTS 测试：SSL Labs 提供 HSTS 配置检测，但不提供提交服务。它更适合用于验证你的 HSTS 配置是否正确，而 hstspreload.org 则是真正的“提交入口”。

总结建议

hstspreload.org 最适合那些已经彻底完成 HTTPS 迁移、希望获得最高安全级别的网站所有者。如果你运营的是一个面向全球用户的博客、企业官网或小型电商，且不打算再保留 HTTP 端口，那么免费提交是绝佳选择。但如果你仍然是 HTTP/HTTPS 混合模式、或者需要兼容老设备（如某些嵌入式设备只支持 HTTP），请务必不要提交，因为一旦加入列表，所有未加密连接都会直接被浏览器拒绝。建议先通过 SSL Labs 或浏览器开发者工具检查自己的 HSTS 配置是否满足预加载条件，确认无误后再提交。由于服务完全免费，不存在“先试用后付费”的问题，直接上手即可。