動画ACにアップロードした動画が公開中です。下のボタンから一覧をご覧いただけますのでどうぞご利用ください。

ユーザ名:ryo88

動画をダウンロードする

主に風景やエフェクト、背景動画をアップしています。

このページには広告が含まれる場合があります。

サイト/ショップ作成のお話

セキュリティ診断で指摘されたHSTSの設定を見直した

2024年10月25日

当サイトの「HSTS」の設定を見直しました。

「HSTS」とは、「HTTP Strict Transport Security」の略で、アクセスしてきた閲覧者のブラウザに対し、「このサイトへのアクセスはすべてHTTPSで接続するようにしてください」と指示する技術を言います。

当サイトのURLが「https://ryoworks.officeonemanage.work」となるのですが、例えばある閲覧者が「http://ryoworks.officeonemanage.work」とhttpでアクセスしても、閲覧者のブラウザは当サイトに設定されたHSTSを記憶し、次回のアクセスからは強制的にhttpsで接続するようになるのです。

これまで、当サイトは「http://~」でアクセスされても「https://~」へ自動的にリダイレクトされるように設定していたのですが、この場合は一度、閲覧者が「http」として接続してしまいます。

「httpでは一切接続しないようにする」という観点からはまだまだセキュリティとしては甘い状態と言えるわけです。

HSTSを設定する方法は簡単なので、以下に書いていきたいと思います。

注意点

HSTSを設定するサイトは「常時SSL化(すべてのページがhttpsから始まるページ)」になっている必要があります。

一部のページが「http」から始まるようになっているのであれば、まずは「常時SSL化」から行ってください。

次に、「.htaccess」ファイルを記述しますが、現在このファイルがあるかないかで対応が変わります。

まずは、「.htaccess」ファイルがある場合から見ていきましょう。

「.htaccess」ファイルに記述する

HSTSの設定を「.htaccess」ファイルに記述します。

レンタルサーバーにサイトのデータを置いている場合は、普段使っているFTPクライアントツールでサーバーにアクセスし、サイトのトップフォルダへアクセスします。

「.htaccess」ファイルがトップフォルダ内に見つからない場合、FTPクライアントツールで隠しファイルを表示しない設定になっている可能性があります。

「WinSCP」の場合、環境設定ウィンドウを開いた上の場所で設定できる

現在の「.htaccess」ファイルは事前にどこかにコピーを保存しておくなど、バックアップをしておいた方がいいでしょう。

その後ファイルをメモ帳などで開き、元々何か記述してあれば上の行を1行だけ開けて、2行目から以下のように入力します。

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ファイルを保存して閉じます。

「.htaccess」ファイルがない場合

元々、「.htaccess」ファイルがなければ作成します。

メモ帳などを新規で開いて、最初の一行を改行して2行目から入力します。

Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

ファイルを保存する際には、「htaccess.txt」と一旦テキストファイル形式で保存しましょう。

FTPクライアントツールでサーバに「htaccess.txt」をアップロードした後、FTPクライアントツール上でファイル名を「.htaccess」に変更します。

開発者ツールで確認

HSTSが設定できているかをブラウザの「F12」キーを押して開く「開発者ツール」で確認してみます。

手順は、以下のようになります。

  • 調べたいサイトのページでキーボードの「F12」キーを押す
  • 「Ctlr+R」でページを再読み込みする
  • 一覧からページのURLをクリックする
  • ヘッダーの一覧から「Strict-transport-security:」を探す
  • ヘッダーの「レスポンスヘッダー」の一覧から「Strict-transport-security:」を探す
  • 先ほど入力した文字が値として表示されているのを確認する

上のように表示されれば設定完了となります。

プリロードは省略可能

設定文字の一番最後に「preload」と指定しています.

HSTSの設定というのは、初回にアクセスしてきた閲覧者がhttpであれば「次回以降」を強制的にhttpsで接続する技術なので、初回だけはどうしてもhttpで接続されてしまう可能性があります。

そのため初回からhttpsを強制する場合には、Googleが管理している「HSTSプリロードリスト」にドメインを登録する必要があり、設定文字にも「preload」という記述が必要になります。

(まとめ)

Webサイトを運営していると、セキュリティ診断で最初に指摘されるのがこの「SSL」周りではないでしょうか。

レンタルサーバーのセキュリティ診断で、「リダイレクトだけではセキュリティが甘い!HSTSをきちんと設定しなさい」と言われたので、今回設定してみました。

サイト運営を始めたばかりのかたやネットショップを自前のサイトで運用しているかたは、サイトのセキュリティチェックを一度受けておいた方がいいかもしれませんね。

おすすめ

1

最近、何かと世間をにぎわせている某タレント、いや「中居正広」の各スキャンダルですが、この人の名前を見るたびに筆者は自分の小学生時代を思い出すのです。 注意深くこの記事をご覧になってくださったかたは、こ ...

2

「ダラシメン」というYouTubeチャンネルをご存じでしょうか? いわゆるホラーチャンネルなんですが、このチャンネルの面白いところはやらせが全くない(やらせを感じさせるものが全くない)ところです。 「 ...

3

TBSラジオの「問わず語りの神田伯山」と言う番組をご存じでしょうか? 毎週金曜日の夜9:30からやっている30分番組で、講談師の神田伯山氏がリスナーからのメールやはがきを読んで色々しゃべる番組なのです ...

4

サラリーマンでも会社経営でも、社会人になるとなんだかんだ言って数字と向き合う時間は増えると思います。 計算していても結構多く登場するのは、割合を求める場面ではないでしょうか。 例えば、 A商品の利益率 ...

5

地震や大雨のニュースを見るたびに、防災の意識が高まる・・・ようにならなければならないのですが、筆者は非常食以外、特に防災を意識した持ち物を用意していないのが現状だったりします。 自分の場合、自宅が海の ...

6

今年の11月にアメリカ大統領選挙があります。 民主党候補の現職バイデン大統領が今秋の大統領選出馬を見送り、現職副大統領のカマラ・ハリスを擁立した途端に民主党の支持が回復しました。 日本では、9月27日 ...

7

3日ほど前、筆者の自宅に「ガーさん」が遊びにやってきました。 筆者の部屋に招き、2泊していただいた後の3日目の夜に無事にお帰りになりましたので、十分休息を取られたのではないかと思います。 最近本州の方 ...

8

YouTubeには、ヒーリングミュージック的なものがたくさんアップされていますよね。 筆者も1時間くらいの「運上昇系ヒーリング」や「海を眺めながらジャズヒーリング」などの動画をよく聞いています。 今で ...

9

「動画AC」に新しい動画をアップしました。 ■動画一覧はこちら 今回ご紹介している動画以外にもアップされている動画がありますので、是非ご覧ください。 降りてくるハートフルな4色と野球のボールがこちらに ...

10

最近結婚した「飯豊まりえ」が主演した映画「シライサン」(2020年公開)について語ってみようと思います。 なぜ、この映画を語ろうと思ったかはさておき、ネタバレにならないように内容を簡単にご紹介しておき ...

-サイト/ショップ作成のお話