www.e-Gov.go.jp のhttps化が話題となっていますが、
- http→httpsの変更だけでパスが同じならリダイレクトして欲しい
- リダイレクトするといつまで経ってもリンクやブックマークが修正されない
といったあたりで平行線になっているように感じられます。
そこで「24時間おきにhttp→httpsへのリンク変更を促す」という(ちょっとうざい)設定ができないか試してみました。
設定と解説
<VirtualHost *:80>
:
RewriteEngine on
RewriteRule ^(.*)$ https://%{HTTP_HOST}/sorry.html [R=303,L]
</VirtualHost>
<VirtualHost *:443>
:
<Location "/sorry.html">
Header set Strict-Transport-Security "max-age=86400;"
FileEtag None
RequestHeader unset If-Modified-Since
Header set Cache-Control no-store
</Location>
</VirtualHost>
- httpへのアクセスでは常にhttps://.../sorry.htmlにリダイレクトする(303は妥当?)
- https://.../sorry.htmlへのアクセスに対して、
- Strict-Transport-Securityを86400秒(24時間)で返す
- '304 Not modified'応答にはHSTSヘッダが付かないので対策する
以上。なんですが、検証していて、
- MaxOS MojaveのSafari(12.1.1)だとページ毎にしかHSTSが効かないっぽい
- Windows 10のEdgeだとブラウザを閉じるまでHSTSが効き続ける
- Chrome, Firefoxは両OSで期待通りの動きになる
というなかなか興味深い挙動が確認できました。
採用したら500円ください(懐かしいお名前を拝見しました)