このドキュメントでは、HTTP ストリクトトランスポートセキュリティ (HTTP Strict Transport Security: HSTS) の技術詳細とシナリオ、および Alibaba Cloud コンソールで HSTS を操作する方法について説明します。

特徴

HSTS は RFC 6797 で規定されています。 HSTS はブラウザなどのクライアントに、ドメインは HTTPS のみを使用してアクセスするように指示します。

シナリオ

Web サイト全体で HTTPS を有効にしたら、ユーザーと検索エンジンを 301 または 302 の HTTP リダイレクトを使用して HTTPS ページにリダイレクトします。 Web ブラウザに HTTP URL を入力するか、HTTP URL をクリックすると、サーバーは HTTP リクエストを HTTPS にリダイレクトします。 リクエストを HTTPS にリダイレクトするときに接続が中間者 (MITM) に乗っ取られる可能性はまだあります。 その結果、リクエストを指定されたサーバーに送信できません。 この問題に対処するため、HTTP HSTS ヘッダーを設定して、HTTPS 上のすべてのクライアント接続を標準化できます。

HSTS はレスポンスヘッダーです。Strict-Transport-Security: max-age=expireTime [; includeSubDomains] [; preload] パラメーターの説明は以下のとおりです。
  • max-age は秒単位で表されます。
  • Strict-Transport-Security : HSTS は、HTTPS を介したブラウザの Web サーバーへのアクセスを特定の時間だけに制限する Web セキュリティメカニズムです。 Web サイトが HTTP 経由の接続を受け入れ、Strict-Transport-Security メカニズムに指定された時間が経過していない場合、ブラウザは HTTP から HTTPS への 307 内部リダイレクトを開始します。 これにより、301 および 302 リダイレクトでの乗っ取りが回避されます。
  • includeSubDomains はオプションです。 このパラメーターを指定すると、このルールはサイトのすべてのサブドメインにも適用されます。
  • preload はオプションです。 サイトの所有者は Web サイトをプリロード一覧に送信できます。
  • HSTS が有効になるまでは、まだ最初のリダイレクトに 301 または 302 リダイレクトを使用する必要があります。
  • HSTS レスポンスヘッダーは、HTTPS リクエストに応答して有効であり、HTTP リクエストに応答して無効です。
  • HSTS レスポンスヘッダーは 443 ポートに対してのみ有効です。
  • HSTS レスポンスヘッダーはドメイン名に対して有効、かつ IP アドレスに対しては無効です。
  • HSTS を有効化した後、Web サイトの証明書が正しくないと、証明書の処理に時間がかかる場合があります。

手順

HTTPS 証明書を設定してから、TLS 機能を有効にします。
  1. CDN コンソールにログインします。
  2. 左側のナビゲーションウィンドウペインで、[ドメイン名] をクリックします。
  3. ドメイン名を選択し、[管理] をクリックします。
  4. 左側のナビゲーションウィンドウペインで、[HTTPS 設定] をクリックします。
  5. [HTST][変更] をクリックし設定を完了します。