2016年09月04日
このエントリーをはてなブックマークに追加
SSLの設定をするとき、サイトによっては、強制的にすべての通信をHTTPSにすることがあります。
僕としても、メールフォームだけをSSL化するなどして、併用する場合はともかく、HTTP / HTTPS どちらでもアクセスできる環境にするならば、なるべくどちらかに統一されていた方が管理がしやすいと思います。

HSTSの設定を行うと、すべての通信がHTTPSにすることができるようです。ただし1回はHTTPでのアクセスとなるようです。
なお、Windows7のIE11から対応しているようです。ChromeやFirefoxはすでに対応済みのようです。

参考
HTTP Strict Transport Security: Mozilla
HSTS (HTTP Strict Transport Security) の導入
cybozu.com を真に常時 SSL にする話

上記サイトから引用

ServerName example.com
SSLEngine on
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains"
`
※max-age=31536000は1年間有効となるようです。半年の場合には 15768000 を。
・・・31536000 / 60 / 60 / 24 = 365となりました。

※includeSubDomains は省略可能。サブドメインにも適用する場合には指定します

なお、 googleで以下のサイトから登録の追加ができるようです。
Enter a domain for the HSTS preload list:


stock_value at 17:23│Comments(0)TrackBack(0)技術:2016年 

トラックバックURL

この記事にコメントする

名前:
URL:
  情報を記憶: 評価: 顔