HTTP⇒HTTPSへの移行対応の時にやらなかったことを対応した
HSTSの設定
HSTS(HTTP Strict Transport Security)という仕組みを利用するといいらしい。
HSTSってなんぞ?って思ったので調べたら載ってた。
「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザは、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。
なるほどね!一回HTTPでアクセスされることもなくなるわけか。セキュリティ的にもいいんじゃないですか。
よし。ではさっそく組み込み。
.htaccessに以下を記述
Header set Strict-Transport-Security "max-age=31536000;"
よしよし。
ここである疑問が。
初回は??
更に調べるとどうやら「プリロードHSTS」となるものがあるらしい。
このサイトに登録しておくとChrome,Firefox,Safariからは初回訪問を含めてHTTPSでのアクセスを標準にする。らしい。
さっそく対応。
なんかもろもろエラーが表示・・・orz
調べるとさっき追加したHeaderには情報が足りないらしく以下で動作した。
Header set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
無事動いた(・∀・)
HTTPSに変更してから少し順位が落ちてきているので再度様子見★
2015/04/28 追記 preload hstsに登録すると、サブドメインまで勝手にHTTPSに置き換わろうとする現象が発生 一部SSLを利用していないサブドメインが存在していたので問題に。。。
とりあえずHeaderを最初のに戻すことで対応