HTTP Strict Transport Security (HSTS) を有効にすると、ブラウザなどのクライアントが Edge Security Acceleration (ESA) の POP に接続する際に HTTPS を使用するように強制できるため、セキュリティが向上します。
HSTS
HSTS(HTTP Strict Transport Security)は、Web サイトが HTTPS のみをサポートすることを宣言するためのメソッドです。
HSTS を構成した後、クライアントが初めて POP に HTTPS で接続すると、ESA POP は応答ヘッダー Strict-Transport-Security を送信し、指定された期間中、以降のすべてのリクエストに対して HTTPS のみを使用するようクライアントに指示するとともに、HTTP リクエストをブロックします。HSTS 応答ヘッダーの構文は以下のとおりです:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]。各パラメーターの説明については、以下の表をご参照ください。
パラメーター | 説明 |
max-age | HSTS ヘッダーの生存時間(TTL)で、単位は秒です。この期間中、クライアントは HTTPS を使用してアクセスする必要があります。 |
includeSubDomains | 任意のパラメーターです。このパラメーターを含める場合、対象ドメインおよびそのすべてのサブドメインに対して HSTS が有効化されます。 |
preload | 任意のパラメーターです。ブラウザの組み込みリストにドメインを登録する申請を行う際に、プリロードリストを使用します。 |
注意事項
HSTS を有効化する前に、ご利用のサイトに SSL/TLS 証明書を設定済みであることを確認し、Edge 証明書の設定 を実行してください。詳細については、「Edge 証明書の設定」をご参照ください。
HSTS ポリシーはドメイン名にのみ適用され、IP アドレスには適用されません。
HTTP Strict Transport Security(HSTS)を構成した後、クライアントが初回アクセス時に HTTP を使用した場合、HSTS ポリシーがまだクライアントに同期されていないため、ESA POP は HTTP リクエストを HTTPS へ強制リダイレクトします。これにより、関連するセキュリティリスクが回避されます。
HSTS を構成した後、クライアントは ESA POP へのアクセスを HTTPS のみで行うことができます。HTTPS から HTTP への強制リダイレクトを設定しないでください。
HSTS ポリシーはクライアント側で効果を発揮するため、HSTS を無効化しても即座に効果は現れません。次回の HTTPS リクエスト時に更新された HSTS ポリシーをクライアントに送信するために、リフレッシュを実行してください。
HSTS の有効化
ESA コンソールで、サイト管理 を選択し、サイト 列から対象のサイトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
HSTS エリアで、設定 をクリックし、ステータス スイッチをオンにしてから、OK をクリックします。
サイトレベル設定とルールベース設定のマッピング
サイトレベルのルールは、そのサイトに対するすべてのリクエストに適用されます。特定のリクエストのみにこの機能を適用したい場合は、ルールベースの機能をご利用ください。ルールベースの機能では、ユーザーのリクエストに含まれる特定のパラメーターを識別するためのルール条件を設定することで、構成の適用範囲を精密に制御できます。サイトレベルのグローバル HSTS 構成に対応するルールベースの機能は、HSTS です。