HTTP Strict Transport Security (HSTS)の設定方法

概要

HTTP Strict Transport Security (HSTS)について。

HTTP Strict Transport Security (HSTS)とは

HTTP Strict Transport Security (HSTS)
ユーザーがexample.comでアクセスした場合を想定して、ブラウザにhttp://ではなくhttps://で通信するようにサイトから指示する機能。この設定せずに常時SSL化しているサイトでは、example.comでアクセスした時、一旦http://で接続したのち、https://にリダイレクトされる。この場合、安全な公式サイトにリダイレクトされるまでに、攻撃者が悪意あるサイトにリダイレクトされる恐れがある。

SLL Labs(https://www.ssllabs.com/ssltest/)の判定が、A+でなかったサイトは、HTTP Strict Transport Securityを設定すればA+になる。

 

ただしサブドメインでは設定できない。ドメインで設定すれば、そのサブドメインにも反映される。

HTTP Strict Transport Security (HSTS)についての詳細は、以下の記事にある。

MDN web docs『HTTP Strict Transport Security』https://developer.mozilla.org/ja/docs/Web/Security/HTTP_Strict_Transport_Security

 

設定手順

.htaccessファイルに以下のコードを記述する。

.htaccess


Header set Strict-Transport-Security "max-age=315360000; includeSubDomains; preload"

 

設定内容としては、一旦アクセスされれば315360000秒間(一年間)保存される。

 

その後、以下のサイトに登録する。

HSTS Preload List Submission : https://hstspreload.org

 

 

.
スポンサーリンク

商用利用可な素材配布しています!!

商用利用可なフリー素材ULOCO商用利用可なフリー素材ULOCO