前回の「Apache HTTP Serverでの常時HTTPS化の設定 | GNU social JP」で残したプリロードHSTSの設定方法を記します。
概要
HSTS (HTTP Strict Transport Security) により次回以降のHTTPアクセスを回避できますが,どうしても初回のHTTPアクセスを回避できませんでした。HSTSは,一度HTTPSのページにアクセスして,HSTSヘッダーを受け取ってから初めて機能するからです。
この初回のHTTPアクセスを回避するための仕組みとして,プリロードHSTS (Preload HSTS) が存在します。これはWebブラウザーに事前にHSTSで接続するドメインのリストを持たせることで,初回アクセスからHSTSによるHTTPSアクセスを実現します。元々は,Google Chromeだけの仕組みでした。しかし,その後他の主要なWebブラウザー (Firefox, Opera, Safari, IE11, Edge) もChromeのリストを持つようになりました。
このプリロードHSTSは,専用サイト (HSTS Preload List Submission) からドメインを申請・登録することで実現できます。フォームから申請するだけですので、手順自体は簡単です。
条件
申請にあたって,サイトに掲載されている通り,以下の条件が課せられています。
- 有効な証明書を提供
- HTTPからHTTPSへリダイレクト済み
- 全サブドメインをHTTPSで提供
- 特に,wwwサブドメイン
- ベースドメインのHSTSヘッダーに以下を指定
max-ageに31536000s (1年) 以上の期間を指定includeSubDomainsを指定preload指令を指定- HTTPSサイトから追加のリダイレクトを提供する場合,リダイレクトもHSTSヘッダーを持つこと
「Apache HTTP Serverでの常時HTTPS化の設定 | GNU social JP」で事前に用意したhttpd.confまたは.htaccessはこの条件を満たすように設定しています。
申請前に,この設定を常時HTTPS化したいベースドメインに適用しておきます。レンタルサーバーなどでは,.htaccessに用意した内容を追記して対応します。
手順
設定が済めば,後は専用サイトから申請するだけとなります。具体的な手順を記します。
残り92347文字。続きはFree/Bronze/Silver/Gold会員限定。
Free=0/Bronze=220/Silver=1100/Gold=1980円。
詳細プロフィール。SNS: X Twitter/GS=gnusocialjp@gnusocial.jp/WP=gnusocialjp@web.gnusocial.jp。2022-07-17からgnusocial.jpとweb.gnusocial.jpのサイトを運営しています。WordPressで分散SNSに参加しています。このアカウントの投稿に返信すると、サイトのコメント欄にも反映されます。診断済ASD。
Comments