417 文字
2 分
HSTS (Http Strict Transport Security)を設定
2023-03-12
Security
Nginx

HSTSについての説明はこちらに詳しく書かれています。

https://zenn.dev/harusame0616/articles/b285a061e0c1f9

HSTSのpreloadに登録#

HSTSのpreloadに登録するための設定は簡単です。

ドメイン自体のAレコードのURLに対して、HTTPヘッダを1つ追加するだけです。

HSTSのpreloadに登録するためには要件が厳しいです。以下の3つを満たす必要があります。

  • includeSubdomainも付加
  • 有効期限は1年以上
  • preloadの指定

HSTSのpreloadのリストはグローバルで1つなのでリストの肥大化を防ぐためにもドメインレベルでしかも長期的に保持するような方針です。

nginxの場合は以下の1行を適切なブロック(serverあたり)に足すだけです。

server {
  add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains; preload';
}

Apacheの場合は以下の1行を適切なディレクティブに足すだけです。

Header add Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

対応ドメインの登録をする場合は以下のサイトでドメイン名を入力してSubmitします。

https://hstspreload.org/

Submit後はすぐに登録されるわけではなく、保留されてから登録されるようなのでしばらく待ちます。

ホストごとにHSTSを設定する場合#

上記の場合はHSTSのドメインレベルでの登録、ドメインレベルでのHSTS preloadの登録を行いました。

各ホストごとにもHSTSは設定できるので必要に応じて設定すれば良いと思います。

例えば、以下のような感じで有効期限を指定するだけのようになります。(有効期限は1週間の例)

server {
  add_header Strict-Transport-Security 'max-age=604800';
}
HSTS (Http Strict Transport Security)を設定
https://blog.teraren.com/posts/hsts-http-strict-transport-security/
作者
Yuki Matsukura
公開日
2023-03-12
ライセンス
CC BY-NC-SA 4.0
Automatically delete head branchesの宗教論争
HHKB Proをオキシクリーンで掃除してルビング

関連記事

AtlassianをSP、Google WorkspaceをIdPとしてSAMLを設定する方法
2023-04-20Security
OWASP TOP 10のトップ3を解説
2020-08-06Security
I found a vulnerability related to the potential of Zoom Bomb
2020-06-29Security

コメント

© 2026 Yuki Matsukura. All Rights Reserved. / RSS / Sitemap / プライバシーポリシー