このトピックでは、HTTP Strict Transport Security (HSTS) を設定する方法について説明します。 HSTSを設定すると、ブラウザなどのクライアントは、ポイントオブプレゼンス (POP) へのHTTPS接続のみを確立できます。 これにより、セキュリティが向上する。
前提条件
SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。
背景情報
HSTSは、WebサイトがHTTPS接続のみを受け入れることを可能にするポリシーメカニズムです。
HSTSを設定した後、クライアントが初めてHTTPS経由でPOPに接続すると、POPはレスポンスヘッダーを使用して、一定期間内にHTTPSリクエストのみが許可され、HTTPリクエストをブロックすることをクライアントに通知します。 HSTSレスポンスヘッダーは、Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload] 形式です。 下表に、各パラメーターを説明します。
パラメーター | 説明 |
max-age | HSTSヘッダーの有効期間 (TTL) 。 単位は秒です。 この期間中、クライアントはHTTPSリクエストのみを開始できます。 |
includeSubDomains | オプションです。 このパラメーターを設定すると、ドメイン名とそのサブドメインに対してHSTSが有効になります。 |
preload | オプションです。 このパラメータを使用すると、ブラウザのHSTSプリロードされたリストにドメイン名を追加できます。 |
クライアントは、max-ageパラメーターで指定されたTTLが期限切れになるまで、ドメイン名にHSTSを使用します。 TTL中、HTTPリクエストはブロックされ、HTTPSリクエストに変換されます。
HSTSを有効にした後、POPは、HSTS設定がクライアントに同期されていないため、セキュリティリスクを防ぐために、クライアントによって開始された最初のHTTP 301をHTTPリクエストステータスコードを使用してHTTPSにリダイレクトします。
制限事項
HSTSを設定すると、クライアントはHTTPS経由でのみPOPにアクセスできます。 同時にHTTPへのURLリダイレクトを設定しないでください。
HSTSはドメイン名にのみ適用され、IPアドレスには適用されません。
HSTSはクライアントに有効です。 HSTSの無効化はすぐには有効になりません。 クライアントが次のHTTPSリクエストを開始するときに、HSTSステータスを更新し、HSTSステータスをクライアントに送信する必要があります。
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名.
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定.
[HSTS] セクションで、[変更] をクリックします。変更
では、HSTS の設定ダイアログボックスをオンにするHSTS スイッチを設定し、有効期限とサブドメインを含むパラメーターを使用します。
有効期限: ブラウザでキャッシュするHSTSレスポンスヘッダーのTTLを指定します。 値を60に設定することを推奨します。 単位:日 値を0に設定すると、HSTSは無効になります。
サブドメインを含む: このスイッチをオンにする前に、高速化ドメイン名のすべてのサブドメインでHTTPSが有効になっていることを確認してください。 高速化ドメイン名のすべてのサブドメインに対してHTTPSを有効にしない場合、リクエストがHTTPSにリダイレクトされた後、サブドメインにアクセスすることはできません。 作業は慎重に行ってください。
クリックOK.