HSTS(HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ)とは、WebサーバーがWebブラウザーに対して、現在接続しているドメインに対するアクセスにおいて次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティです。

鍵

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

GoogleがHTTPS(SSL/TLS)を使っているウェブページの評価を高めることを発表してから随分と経過しますが、その際に『HSTS』というセキュリティを有効にするようアナウンスしていました。

では、HSTSはどのようにして有効にしておけば良いのでしょうか?

HSTSの有効化の方法

HTTPのURLをブラウザーに打ち込んでも2回目以降のアクセスはHTTPSでアクセスさせるHSTSは、.htaccessに1行追記することで有効になります。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”

このように.htaccessに記述すれば有効になります。

31536000は秒数(60秒×60分×24時間×365日)で、includeSubDomainsを指定することでサブドメインにもHSTSが適用されるようになります。

Preload HSTS

上記のことをもう1歩進めておくと、HSTSが有効になっていることを予めブラウザーが知っていれば初めてのアクセスからHTTPを使わずHTTPSで接続できるということになります。

それを『Preload HSTS』と言います。

これは、Google ChromeなどのPreload HSTSサイトリストに登録申請することもできますし、.htaccessに記述することもできます。

.htaccessで記述しておく場合は下記のように記述します。

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

また、登録申請する場合はこちらから申請できます。

ウェブの常時HTTPS化を行う場合、セキュリティ性をさらに高めるためにもHSTSやPreload HSTSを有効にしておくことをお勧めします。

Ads

この記事を書いた人

  • 業務コンサルタント高橋晋吾
  • 1968年生 愛知県名古屋市出身 会計・給与・販売購買在庫・税金系などの業務システムを製造・販売する某上場企業の出身で、会計・IT・WEBを中心とした業務改善などを行う業務コンサルタント
  • 中小企業庁『ミラサポ』登録専門家/あいち産業振興機構登録専門家/名古屋産業振興公社登録専門家
  • (Publisher:TRILOGYFORCE.COM)

この記事をシェアする

  • Facebookにシェア
  • はてなブックマークにシェア
  • LINEにシェア

関連記事

お問い合わせ

お悩み・問題・課題を今すぐご相談ください。お問い合わせはこちら

ページのトップへ戻る