皆さん、こんにちは。

業務改善を行う業務コンサルタント、高橋です。

GoogleがHTTPS（SSL/TLS）を使っているウェブページの評価を高めることを発表してから随分と経過しますが、その際に『HSTS』というセキュリティを有効にするようアナウンスしていました。

では、HSTSはどのようにして有効にしておけば良いのでしょうか？

HSTSの有効化の方法

HTTPのURLをブラウザーに打ち込んでも2回目以降のアクセスはHTTPSでアクセスさせるHSTSは、.htaccessに1行追記することで有効になります。

↓

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains”

↑

このように.htaccessに記述すれば有効になります。

31536000は秒数（60秒×60分×24時間×365日）で、includeSubDomainsを指定することでサブドメインにもHSTSが適用されるようになります。

Preload HSTS

上記のことをもう1歩進めておくと、HSTSが有効になっていることを予めブラウザーが知っていれば初めてのアクセスからHTTPを使わずHTTPSで接続できるということになります。

それを『Preload HSTS』と言います。

これは、Google ChromeなどのPreload HSTSサイトリストに登録申請することもできますし、.htaccessに記述することもできます。

.htaccessで記述しておく場合は下記のように記述します。

↓

Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

↑

また、登録申請する場合はこちらから申請できます。

ウェブの常時HTTPS化を行う場合、セキュリティ性をさらに高めるためにもHSTSやPreload HSTSを有効にしておくことをお勧めします。