HSTS(HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ)とは、WebサーバーがWebブラウザーに対して、現在接続しているドメインに対するアクセスにおいて次回以降HTTPの代わりにHTTPSを使うように伝達するセキュリティです。
皆さん、こんにちは。
業務改善を行う業務コンサルタント、高橋です。
GoogleがHTTPS(SSL/TLS)を使っているウェブページの評価を高めることを発表してから随分と経過しますが、その際に『HSTS』というセキュリティを有効にするようアナウンスしていました。
では、HSTSはどのようにして有効にしておけば良いのでしょうか?
HSTSの有効化の方法
HTTPのURLをブラウザーに打ち込んでも2回目以降のアクセスはHTTPSでアクセスさせるHSTSは、.htaccessに1行追記することで有効になります。
↓
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”
↑
このように.htaccessに記述すれば有効になります。
31536000は秒数(60秒×60分×24時間×365日)で、includeSubDomainsを指定することでサブドメインにもHSTSが適用されるようになります。
Preload HSTS
上記のことをもう1歩進めておくと、HSTSが有効になっていることを予めブラウザーが知っていれば初めてのアクセスからHTTPを使わずHTTPSで接続できるということになります。
それを『Preload HSTS』と言います。
これは、Google ChromeなどのPreload HSTSサイトリストに登録申請することもできますし、.htaccessに記述することもできます。
.htaccessで記述しておく場合は下記のように記述します。
↓
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
↑
また、登録申請する場合はこちらから申請できます。
ウェブの常時HTTPS化を行う場合、セキュリティ性をさらに高めるためにもHSTSやPreload HSTSを有効にしておくことをお勧めします。