2018年02月17日
このエントリーをはてなブックマークに追加
常時SSLが常識的になってきました。
僕の管理しているサイトでもテスト的に常時SSLを設定しました。

このとき、HSTS がまずは第一歩です。
これはリダイレクトとは異なるようですが、一回HTTPSでアクセスしたサイトであれば、常時HTTPSでの接続となるようです。

設定は非常に簡単でした。
ssl の設定がされている conf ファイルに以下の行を追加です。
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"

※max-age はブラウザにキャッシュされる時間で、秒での指定です。最初は必ず小さな値にして様子を見ます。
※includeSubDomains はサブドメインにも適用するということです。個別に設定したい場合には、この文字は不要です。

この設定を入れると、httpに戻すことが難しくなります。その点については十分に注意が必要です。

参考
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security



stock_value at 12:54│Comments(0)技術 

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔