HSTS(HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ)とは、WebサーバーがWebブラウザーに対して、現在接続しているドメインに対するアクセスにおいて次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティです。

鍵

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

GoogleがHTTPS(SSL/TLS)を使っているウェブページの評価を高めることを発表してから随分と経過しますが、その際に『HSTS』というセキュリティを有効にするようアナウンスしていました。

では、HSTSはどのようにして有効にしておけば良いのでしょうか?

HSTSの有効化の方法

HTTPのURLをブラウザーに打ち込んでも2回目以降のアクセスはHTTPSでアクセスさせるHSTSは、.htaccessに1行追記することで有効になります。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”

このように.htaccessに記述すれば有効になります。

31536000は秒数(60秒×60分×24時間×365日)で、includeSubDomainsを指定することでサブドメインにもHSTSが適用されるようになります。

Preload HSTS

上記のことをもう1歩進めておくと、HSTSが有効になっていることを予めブラウザーが知っていれば初めてのアクセスからHTTPを使わずHTTPSで接続できるということになります。

それを『Preload HSTS』と言います。

これは、Google ChromeなどのPreload HSTSサイトリストに登録申請することもできますし、.htaccessに記述することもできます。

.htaccessで記述しておく場合は下記のように記述します。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

また、登録申請する場合はこちらから申請できます。

ウェブの常時HTTPS化を行う場合、セキュリティ性をさらに高めるためにもHSTSやPreload HSTSを有効にしておくことをお勧めします。

    この記事が参考になりましたらシェアしてください

    この記事を書いた人

    • 業務コンサルタント高橋進伍
    • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
    • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
    • (Publisher:TRILOGYFORCE.COM)

    Sponsored

    関連記事

    Comments

    " data-numposts="5">

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    お問い合わせ

    お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

    ページのトップへ戻る