このトピックでは、HTTP Strict Transport Security (HSTS) を設定する方法について説明します。 HSTSを設定すると、ブラウザなどのクライアントは、ポイントオブプレゼンス (POP) へのHTTPS接続のみを確立できます。 これにより、セキュリティが向上する。
前提条件
SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。
背景情報
HSTSは、WebサイトがHTTPS接続のみを受け入れることを可能にするポリシーメカニズムです。
HSTSを設定した後、クライアントが初めてHTTPS経由でPOPに接続すると、POPはレスポンスヘッダーを使用して、一定期間内にHTTPSリクエストのみが許可され、HTTPリクエストをブロックすることをクライアントに通知します。 HSTSレスポンスヘッダーは、Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload] 形式です。 下表に、各パラメーターを説明します。
パラメーター | 説明 |
max-age | HSTSヘッダーの有効期間 (TTL) 。 単位は秒です。 この期間中、クライアントはHTTPSリクエストのみを開始できます。 |
includeSubDomains | オプションです。 このパラメーターを設定すると、ドメイン名とそのサブドメインに対してHSTSが有効になります。 |
preload | オプションです。 このパラメータを使用すると、ブラウザのHSTSプリロードされたリストにドメイン名を追加できます。 |
クライアントは、max-ageパラメーターで指定されたTTLが期限切れになるまで、ドメイン名にHSTSを使用します。 TTL中、HTTPリクエストはブロックされ、HTTPSリクエストに変換されます。
HSTSを有効にした後、POPは、HSTS設定がクライアントに同期されていないため、セキュリティリスクを防ぐために、クライアントによって開始された最初のHTTP 301をHTTPリクエストステータスコードを使用してHTTPSにリダイレクトします。
制限事項
HSTSを設定すると、クライアントはHTTPS経由でのみPOPにアクセスできます。 同時にHTTPへのURLリダイレクトを設定しないでください。
HSTSレスポンスヘッダーはHTTPSリクエストへの応答に適用されますが、HTTPリクエストへの応答には適用されません。 HSTSが有効になる前に、301リダイレクトを使用して、クライアントからの最初のHTTPリクエストをHTTPSにリダイレクトするように強制リダイレクトを設定できます。 詳細については、「強制リダイレクトの設定」をご参照ください。
HSTSはドメイン名にのみ適用され、IPアドレスには適用されません。
HSTSはクライアントに有効です。 HSTSの無効化はすぐには有効になりません。 クライアントが次のHTTPSリクエストを開始するときに、HSTSステータスを更新し、HSTSステータスをクライアントに送信する必要があります。
手順
左側のナビゲーションウィンドウで、ドメイン名.
On theドメイン名ページで、管理するドメイン名を見つけて、設定.
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定.
では、HSTSセクション、オンにするHSTSを指定し、有効期限とサブドメインを含むパラメーターを使用します。
有効期限: ブラウザにキャッシュされるHSTSレスポンスヘッダーのTTLを指定します。 値を60に設定することを推奨します。 単位:日
サブドメインを含む: 注意して続行します。 高速化ドメイン名のすべてのサブドメインでHTTPSが有効になっていることを確認します。 そうしないと、リクエストがHTTPSにリダイレクトされた後、サブドメインにアクセスできなくなります。
クリックOK.