HSTSのList登録ができない時
過去に、『セキュリティ性を高めるHSTS』という記事にて『HSTS(HTTP Strict Transport Security (エイチティーティーピー・ストリクト・トランスポート・セキュリティ)』に関して触れましたが、これがGoogleの『HSTS Preload List Submission』に登録できない場合があります。
皆さん、こんにちは。
業務改善を行うIT・業務コンサルタント、高橋です。
冒頭に書いた『HSTS Preload List Submission』は登録できなかったとしても特別問題はないのですが、『共用サーバ』を使っている場合には登録できないケースがあったりします。
HSTSのPreload Listが登録できない
『共用サーバ』の場合、全く知らない個人や事業者が同一のサーバに同居していますが、そのすべてのユーザーが適切に『HTTPS化』できているとは限りません。
その場合にホスティング会社はどのようなセッティングをするか?
『HSTS』は使えても『includeSubDomains』や『Preload』を無効にすることがあります。
理由として、『HTTPS化』への対応が適切にされていなかったりすることで表示上の問題が発生するケースがあるからです。
その場合、『HSTS Preload List Submission』の要件にある『includeSubDomains』と『Preload』が満たせないために登録できないということになります。
これを何とかしたい場合には以下の内容を『.htaccess』に記述してみて下さい。
<IfModule mod_headers.c>
Header always unset Strict-Transport-Security
Header set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”
</IfModule>
これで何とかなるケースがあります。
また、『www』サブドメインで正規化している場合、『.htaccess』でのリダイレクトではなくhtmlの『meta refresh』を使ったリダイレクトでないとうまく行かないことがありますので、苦肉の策ではありますがそれを使います。
(Googleは『meta refresh』を推奨していませんが、『やむを得ない場合』にはNGとはしていないので問題ないかと思います。)