皆さん、こんにちは。

業務改善を行うIT・業務コンサルタント、高橋です。

冒頭に書いた『HSTS Preload List Submission』は登録できなかったとしても特別問題はないのですが、『共用サーバ』を使っている場合には登録できないケースがあったりします。

HSTSのPreload Listが登録できない

『共用サーバ』の場合、全く知らない個人や事業者が同一のサーバに同居していますが、そのすべてのユーザーが適切に『HTTPS化』できているとは限りません。

その場合にホスティング会社はどのようなセッティングをするか？

『HSTS』は使えても『includeSubDomains』や『Preload』を無効にすることがあります。

理由として、『HTTPS化』への対応が適切にされていなかったりすることで表示上の問題が発生するケースがあるからです。

その場合、『HSTS Preload List Submission』の要件にある『includeSubDomains』と『Preload』が満たせないために登録できないということになります。

これを何とかしたい場合には以下の内容を『.htaccess』に記述してみて下さい。

<IfModule mod_headers.c>

Header always unset Strict-Transport-Security
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
</IfModule>

これで何とかなるケースがあります。

また、『www』サブドメインで正規化している場合、『.htaccess』でのリダイレクトではなくhtmlの『meta refresh』を使ったリダイレクトでないとうまく行かないことがありますので、苦肉の策ではありますがそれを使います。

（Googleは『meta refresh』を推奨していませんが、『やむを得ない場合』にはNGとはしていないので問題ないかと思います。）

皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

GoogleがHTTPS（SSL/TLS）を使っているウェブページの評価を高めることを発表してから随分と経過しますが、その際に『HSTS』というセキュリティを有効にするようアナウンスしていました。

では、HSTSはどのようにして有効にしておけば良いのでしょうか？

HSTSの有効化の方法

HTTPのURLをブラウザーに打ち込んでも2回目以降のアクセスはHTTPSでアクセスさせるHSTSは、.htaccessに1行追記することで有効になります。

↓

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”

↑

このように.htaccessに記述すれば有効になります。

31536000は秒数（60秒×60分×24時間×365日）で、includeSubDomainsを指定することでサブドメインにもHSTSが適用されるようになります。

Preload HSTS

上記のことをもう1歩進めておくと、HSTSが有効になっていることを予めブラウザーが知っていれば初めてのアクセスからHTTPを使わずHTTPSで接続できるということになります。

それを『Preload HSTS』と言います。

これは、Google ChromeなどのPreload HSTSサイトリストに登録申請することもできますし、.htaccessに記述することもできます。

.htaccessで記述しておく場合は下記のように記述します。

↓

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

↑

また、登録申請する場合はこちらから申請できます。

ウェブの常時HTTPS化を行う場合、セキュリティ性をさらに高めるためにもHSTSやPreload HSTSを有効にしておくことをお勧めします。