BLOGTIMES
2017/01/27

HTTP Strict Transport Security (HSTS) プリロード に対応させてみた

  firefox  chrome  msie  httpd  ssl 
このエントリーをはてなブックマークに追加

HTTP Strict Transport Security (HSTS) Preload - HTTP Strict Transport Security (HSTS)  プリロード に対応させてみた

サーバ移行を機にサイトを原則として HTTPS 運用することにして、HTTP Strict Transport Security (HSTS)をさらに一歩推し進めてプリロードに対応させてみました。

HSTS プリロードは、 HSTS 有効化している場合でも、最初の1度のアクセスは暗号化のない状態 ( HTTP ) で行われるという脆弱性を無くすために、ブラウザ側で HSTS に対応したドメインの一覧を持っておく(プリロード)ことで、最初の1度目のアクセスから HTTPS が使われるようになるという仕組みです。

プリロードの申請はドメイン単位(サブドメインは不可)なので、Apache HTTPd の場合にはドメインの全てのウェブサーバの設定に以下のような設定を追加しておきます。includeSubDomains を指定するとサブドメインの全てに HSTS が効きますHTTP でしかアクセスができないサイトがあると接続エラーになってしまうので、そのようなサイトがないかどうかを良く確認してから設定を変更する必要があることに注意が必要です

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

あとは HSTS Preload List への登録フォームを使って登録するだけです。
もしウェブサーバに設定の不備があれば、このフォームにドメイン名を入れた時点でエラーが出るので、修正してから登録作業を繰り返します。


    トラックバックについて
    Trackback URL:
    お気軽にどうぞ。トラックバック前にポリシーをお読みください。[policy]
    このエントリへのTrackbackにはこのURLが必要です→https://blog.cles.jp/item/9107
    Trackbacks
    このエントリにトラックバックはありません
    Comments
    愛のあるツッコミをお気軽にどうぞ。[policy]
    古いエントリについてはコメント制御しているため、即時に反映されないことがあります。
    コメントはありません
    Comments Form

    コメントは承認後の表示となります。
    OpenIDでログインすると、即時に公開されます。

    OpenID を使ってログインすることができます。

    Identity URL: Yahoo! JAPAN IDでログイン