このトピックでは、HTTP Strict Transport Security (HSTS) を設定する方法について説明します。 HSTSを設定すると、ブラウザなどのクライアントは、ポイントオブプレゼンス (POP) へのHTTPS接続のみを確立できます。 これにより、セキュリティが向上する。
前提条件
SSL証明書が設定されています。 詳細については、「SSL証明書の設定」をご参照ください。
背景情報
HSTSは、WebサイトがHTTPS接続のみを受け入れることを可能にするポリシーメカニズムです。
HSTSを設定した後、クライアントが初めてHTTPS経由でPOPに接続すると、POPはレスポンスヘッダーを使用して、一定期間内にHTTPSリクエストのみが許可され、HTTPリクエストをブロックすることをクライアントに通知します。 HSTSレスポンスヘッダーは、Strict-Transport-Security:max-age=expireTime [;includeSubDomains] [;preload] 形式です。 下表に、各パラメーターを説明します。
パラメーター | 説明 |
max-age | HSTSヘッダーの有効期間 (TTL) 。 単位は秒です。 この期間中、クライアントはHTTPSリクエストのみを開始できます。 |
includeSubDomains | オプションです。 このパラメーターを設定すると、ドメイン名とそのサブドメインに対してHSTSが有効になります。 |
preload | オプションです。 このパラメータを使用すると、ブラウザのHSTSプリロードされたリストにドメイン名を追加できます。 |
クライアントは、max-ageパラメーターで指定されたTTLが期限切れになるまで、ドメイン名にHSTSを使用します。 TTL中、HTTPリクエストはブロックされ、HTTPSリクエストに変換されます。
HSTSを有効にすると、HSTS設定がクライアントに同期されないため、クライアントによって開始された最初のHTTPリクエストが許可されます。 この場合、要求が傍受または改ざんされる可能性があり、セキュリティ上のリスクが生じます。 HTTPをHTTPSにリダイレクトするようにURLリダイレクトを設定できます。 このように、POPはHTTP 301または302ステータスコードに基づいてHTTPをHTTPSにリダイレクトし、セキュリティリスクを防ぎます。
制限事項
HSTSを設定すると、クライアントはHTTPS経由でのみPOPにアクセスできます。 同時にHTTPへのURLリダイレクトを設定しないでください。
HSTSレスポンスヘッダーはHTTPSリクエストへの応答に適用されますが、HTTPリクエストへの応答には適用されません。 HSTSが有効になる前に、強制リダイレクト機能を有効にして、クライアントからの最初のHTTPリクエストを301リダイレクトを使用してHTTPSにリダイレクトできます。 詳細については、「URLリダイレクトの設定」をご参照ください。
HSTSはドメイン名にのみ適用され、IPアドレスには適用されません。
HSTSはクライアントに有効です。 HSTSの無効化はすぐには有効になりません。 クライアントが次のHTTPSリクエストを開始するときに、HSTSステータスを更新し、HSTSステータスをクライアントに送信する必要があります。
手順
Alibaba Cloud CDNコンソール
左側のナビゲーションウィンドウで、ドメイン名 をクリックします。
[ドメイン名] ページで、管理するドメイン名を見つけて、アクション 列の 管理 をクリックします。
ドメイン名の左側のナビゲーションツリーで、HTTPS 設定 をクリックします。
[HSTS] セクションで、変更 をクリックします。
HSTS の設定 ダイアログボックスで、HSTS スイッチ をオンにし、有効期限 および サブドメインを含む パラメーターを設定します。
有効期限: ブラウザでキャッシュするHSTSレスポンスヘッダーのTTLを指定します。 値を60に設定することを推奨します。 単位:日 値を0に設定すると、HSTSは無効になります。
サブドメインを含む: このスイッチをオンにする前に、高速化ドメイン名のすべてのサブドメインでHTTPSが有効になっていることを確認してください。 高速化ドメイン名のすべてのサブドメインに対してHTTPSを有効にしない場合、リクエストがHTTPSにリダイレクトされた後、サブドメインにアクセスすることはできません。 作業は慎重に行ってください。
OK をクリックします。