勉強前イメージ
HSTSとはまた違う?
調査
そもそも HSTS とは
詳細は こちら をご覧ください。
HTTP Strict Transport Security の略で、webブラウザに対してhttpsでの通信を強制するものになります。
webサーバとブラウザでの最初の通信の際に応答のところで
ヘッダ内に Strict-Transport-Security という項目を定義することで次回からの通信はhttpsで行うというものになります。
HSTSプリロード とは
そしてHSTSプリロードとは初回アクセス時からhttps接続させるようにブラウザに通知する仕組みです。
HSTSプリロードで登録されているサイトはブラウザが自動的に最初からhttps通信を行うようになります。
注意点としては、サイト内の一部に非SSL化の頁があるとユーザはアクセスできなくなります。
また、 HSTSプリロードリスト というものがあります。
プリロードリストとはgoogleによってまとめられて主要ブラウザで使用されている、HSTS対応のサイトをリスト化したものになります。
こちら から登録することができます。
ブラウザはプリロードリストを見て登録されている場合は最初からhttpsで通信を行うようになります。
HSTSプリロードの確認項目
- SSL証明書が有効かどうか
SSL証明書があっても有効ではなかったり、期限が切れてたするとだめなので
有効かどうか確認が必要です。
- 同一ホストでhttp→httpsへリダイレクトしているか
301リダイレクトの設定を行うことが必要です。
- 常時SSL化が行われているかどうか
HSTSプリロードはドメイン一部に対しての対応ができず、ドメイン全体の対応が必要です。
例えば、 example.com というドメインがありその配下に www.example.com と official.example.com と recruit.example.com というサブドメインのサイトがあったとします。
HSTSプリロードは3つのサブドメイン・サブディレクトリも含めてすべてに対応するのですべてのページをSSL化対応する必要があります。
勉強後イメージ
確かに最初は鍵の交換とかで安全じゃないから、最初から安全にしましょう ってことか。
サブドメインがそんなないのであればいいかもしれないけど、万が一更新し忘れとかあったら怖いから登録は慎重にしないとね。