HTTP Strict Transport Security (HSTS) を有効にすると、ブラウザなどのクライアントは、強制的に HTTPS を使用して Edge Security Acceleration (ESA) ノードに接続するようになります。これにより、接続のセキュリティが向上します。
HSTS
HTTP Strict Transport Security (HSTS) は、Web サイトがセキュアな接続 (HTTPS) を介してのみアクセスできることを宣言できるようにする Web セキュリティポリシーです。
HSTS を設定した後、クライアントが初めて HTTPS を使用して ESA ノードに接続すると、ESA ノードは Strict-Transport-Security レスポンスヘッダーを追加します。このヘッダーは、後続のリクエストに HTTPS のみを使用し、HTTP リクエストをブロックするようにクライアントに指示します。HSTS レスポンスヘッダーの構造は次のとおりです:Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload]。次の表にパラメーターを示します。
パラメーター | 説明 |
max-age | HSTS ヘッダーの有効期間 (秒単位)。この期間中、クライアントは HTTPS を使用してアクセスする必要があります。 |
includeSubDomains | オプション。このパラメーターを含めると、ドメイン名とそのすべてのサブドメインで HSTS が有効になります。 |
preload | オプション。ブラウザに組み込まれている HSTS プリロードリストにドメインを登録する場合に、このパラメーターを含めます。 |
注意事項
HSTS を有効にする前に、サイトに SSL/TLS 証明書とエッジ証明書が正しく設定されていることを確認してください。詳細については、「エッジ証明書の設定」をご参照ください。
HSTS ポリシーはドメイン名にのみ適用され、IP アドレスには適用されません。
HSTS を設定した後、クライアントからサイトへの最初のリクエストが HTTP 経由で行われた場合、ESA ノードは HTTPS へのリダイレクトを強制します。このリダイレクトは、HSTS ポリシーがまだクライアントによってキャッシュされていないために発生し、潜在的なセキュリティリスクを防ぐのに役立ちます。
HSTS を設定すると、クライアントは HTTPS 経由でのみ ESA ノードにアクセスできるようになります。したがって、HTTPS から HTTP への強制リダイレクトを同時に有効にしないでください。
HSTS ポリシーはクライアントによって適用されます。HSTS を無効にしても、変更はすぐには有効になりません。クライアントのキャッシュされたポリシーは、次の HTTPS リクエスト時に更新されます。
HSTS を有効にする
ESA コンソールで、サイト管理 を選択します。サイト 列で、対象のサイトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
HSTS セクションで 設定 をクリックし、ステータス スイッチを有効にしてから OK をクリックします。
