2018年02月17日
Tweet
常時SSLが常識的になってきました。
僕の管理しているサイトでもテスト的に常時SSLを設定しました。
このとき、HSTS がまずは第一歩です。
これはリダイレクトとは異なるようですが、一回HTTPSでアクセスしたサイトであれば、常時HTTPSでの接続となるようです。
設定は非常に簡単でした。
ssl の設定がされている conf ファイルに以下の行を追加です。
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
※max-age はブラウザにキャッシュされる時間で、秒での指定です。最初は必ず小さな値にして様子を見ます。
※includeSubDomains はサブドメインにも適用するということです。個別に設定したい場合には、この文字は不要です。
この設定を入れると、httpに戻すことが難しくなります。その点については十分に注意が必要です。
参考
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
僕の管理しているサイトでもテスト的に常時SSLを設定しました。
このとき、HSTS がまずは第一歩です。
これはリダイレクトとは異なるようですが、一回HTTPSでアクセスしたサイトであれば、常時HTTPSでの接続となるようです。
設定は非常に簡単でした。
ssl の設定がされている conf ファイルに以下の行を追加です。
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
※max-age はブラウザにキャッシュされる時間で、秒での指定です。最初は必ず小さな値にして様子を見ます。
※includeSubDomains はサブドメインにも適用するということです。個別に設定したい場合には、この文字は不要です。
この設定を入れると、httpに戻すことが難しくなります。その点については十分に注意が必要です。
参考
https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
stock_value at 12:54│Comments(0)│技術