<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Https on 技術・ゲーム・分かりやすく</title><link>https://takao.blog/ja/tags/https/</link><description>Recent content in Https on 技術・ゲーム・分かりやすく</description><generator>Hugo -- gohugo.io</generator><language>ja</language><copyright>たかおの解説</copyright><lastBuildDate>Thu, 25 Jun 2026 00:00:00 +0900</lastBuildDate><atom:link href="https://takao.blog/ja/tags/https/index.xml" rel="self" type="application/rss+xml"/><item><title>HSTS (HTTP Strict Transport Security) によるHTTPS強制接続の確実な設定方法</title><link>https://takao.blog/ja/web/web-security-http-strict-transport-hsts-hacks/</link><pubDate>Fri, 16 Jan 2026 00:00:00 +0900</pubDate><guid>https://takao.blog/ja/web/web-security-http-strict-transport-hsts-hacks/</guid><description>&lt;img src="https://takao.blog/img/thumbnail/web-security-http-strict-transport-hsts-hacks.png" alt="Featured image of post HSTS (HTTP Strict Transport Security) によるHTTPS強制接続の確実な設定方法" /&gt;&lt;h2 id="初期リクエストの問題点"&gt;初期リクエストの問題点
&lt;/h2&gt;&lt;p&gt;HTTPS は接続確立後のトラフィックを暗号化しますが、HTTP で行われる最初のリクエストは平文のまま送信されます。同じネットワーク上の攻撃者はこの最初のリクエストを傍受し、&lt;strong&gt;SSL ストリッピング攻撃&lt;/strong&gt; によってセッション全体を HTTP にダウングレードできます。&lt;/p&gt;
&lt;p&gt;HTTP Strict Transport Security（HSTS）はこの問題を解決します。ブラウザが HSTS ヘッダーを受け取ると、以後すべての HTTP リクエストを &lt;strong&gt;自動的に HTTPS にアップグレード&lt;/strong&gt; し、証明書が無効な場合は接続を拒否します。&lt;/p&gt;
&lt;h2 id="hsts-の仕組み"&gt;HSTS の仕組み
&lt;/h2&gt;&lt;p&gt;サーバーは HTTPS レスポンスで &lt;code&gt;Strict-Transport-Security&lt;/code&gt; ヘッダーを送信します：&lt;/p&gt;
&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-http" data-lang="http"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#960050;background-color:#1e0010"&gt;Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
&lt;/span&gt;&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;ディレクティブ&lt;/th&gt;
					&lt;th&gt;説明&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;&lt;code&gt;max-age=&amp;lt;秒&amp;gt;&lt;/code&gt;&lt;/td&gt;
					&lt;td&gt;HTTPS のみを使用するようブラウザが記憶する期間&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;&lt;code&gt;includeSubDomains&lt;/code&gt;&lt;/td&gt;
					&lt;td&gt;すべてのサブドメインにポリシーを適用&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;&lt;code&gt;preload&lt;/code&gt;&lt;/td&gt;
					&lt;td&gt;ブラウザのプリロードリストへの登録を希望&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;p&gt;ブラウザはこのヘッダーを受け取ると：&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;ドメインの &lt;code&gt;http://&lt;/code&gt; リンクをすべて &lt;code&gt;https://&lt;/code&gt; に書き換え&lt;/li&gt;
&lt;li&gt;TLS ハンドシェイクが失敗したり証明書が無効な場合は接続を拒否&lt;/li&gt;
&lt;li&gt;&lt;code&gt;max-age&lt;/code&gt; で指定された期間ポリシーをキャッシュ&lt;/li&gt;
&lt;/ol&gt;
&lt;h2 id="サーバーでの設定"&gt;サーバーでの設定
&lt;/h2&gt;&lt;h3 id="nginx"&gt;NGINX
&lt;/h3&gt;&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-nginx" data-lang="nginx"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;&lt;span style="color:#66d9ef"&gt;server&lt;/span&gt; {
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;listen&lt;/span&gt; &lt;span style="color:#ae81ff"&gt;443&lt;/span&gt; &lt;span style="color:#e6db74"&gt;ssl&lt;/span&gt;;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;ssl_certificate&lt;/span&gt; &lt;span style="color:#e6db74"&gt;/etc/ssl/certs/example.pem&lt;/span&gt;;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;ssl_certificate_key&lt;/span&gt; &lt;span style="color:#e6db74"&gt;/etc/ssl/private/example.key&lt;/span&gt;;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt; &lt;span style="color:#f92672"&gt;add_header&lt;/span&gt; &lt;span style="color:#e6db74"&gt;Strict-Transport-Security&lt;/span&gt; &lt;span style="color:#e6db74"&gt;&amp;#34;max-age=63072000&lt;/span&gt;; &lt;span style="color:#f92672"&gt;includeSubDomains&lt;/span&gt;; &lt;span style="color:#f92672"&gt;preload&amp;#34;&lt;/span&gt; &lt;span style="color:#e6db74"&gt;always&lt;/span&gt;;
&lt;/span&gt;&lt;/span&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;}
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;p&gt;&lt;code&gt;always&lt;/code&gt; パラメータにより、エラーページでもヘッダーが送信されます。&lt;/p&gt;
&lt;h3 id="apache"&gt;Apache
&lt;/h3&gt;&lt;div class="highlight"&gt;&lt;pre tabindex="0" style="color:#f8f8f2;background-color:#272822;-moz-tab-size:4;-o-tab-size:4;tab-size:4;-webkit-text-size-adjust:none;"&gt;&lt;code class="language-apache" data-lang="apache"&gt;&lt;span style="display:flex;"&gt;&lt;span&gt;Header always set Strict-Transport-Security &lt;span style="color:#e6db74"&gt;&amp;#34;max-age=31536000; includeSubDomains&amp;#34;&lt;/span&gt;
&lt;/span&gt;&lt;/span&gt;&lt;/code&gt;&lt;/pre&gt;&lt;/div&gt;&lt;h3 id="cloudflare"&gt;Cloudflare
&lt;/h3&gt;&lt;p&gt;Cloudflare のダッシュボードから HSTS を有効化できます：&lt;strong&gt;SSL/TLS &amp;gt; Edge Certificates &amp;gt; HTTP Strict Transport Security&lt;/strong&gt;。プリロードや &lt;code&gt;includeSubDomains&lt;/code&gt; の切り替えはワンクリックです。&lt;/p&gt;</description></item></channel></rss>