HSTSとプリロードHSTS

sslにはまってるわけだが、こんな記事を見つけた。

HTTPSを使うなら“HSTS”と“HSTSプリロード”でセキュリティを高めよう など10+4記事 | 海外&国内SEO情報ウォッチ
グーグルのHTTPS優遇化の話題や、モバイルサイト設計25の指針などのSEO情報も

HSTSとは

「このサイトにはHTTPではなくHTTPSで必ず接続するように」と、サーバーがブラウザに指示するHTTPヘッダー。この指示を受け取ったブラウザ は、その情報を記録しておき、以降は、そのサイトに対してアクセスするのにHTTPを使わず自動的にHTTPSで接続するようにする。

wiki

HTTP Strict Transport Security - Wikipedia

プリロードHSTSは

登録してあるサイトは最初からhttpsってことらしい。プリロードはむりぽいけど、HSTSはできそうだ。試しに実装してみよう。

nginxで試しにやってみた。

Setting up HSTS in nginx
The HTTP Strict Transport Security (HSTS) header allows a host to enforce the use of HTTPS on the client side. By informing the browser to only use HTTPS, even ...

apacheはこうするみたいよ。

HSTSの設定方法(Apache)
・httpd.confに以下追加 Header set Strict-Transport-Security "max-age=31536000;" (通常、1年にする。365日×24時間×60分×60秒) 補足:サブドメインにも適用する場合 Header set Str...

確認方法は

View HTTP Request and Response Header
view request and response header of a HTTP connection, HTTP status codes and HTML source

に行きHEADにチェックいれれば中身みれる。

Strict-Transport-Security:max-age=31536000; includeSubdomains

ディレクティブを有効化した場合としない場合ではヘッダの中身がちがうのでおそらくこれでいいんだろうし有効化なってるんだろうな。

おまけ!!

544: 名無しさん@おーぷん 2014/07/03(木)00:35:19 ID:Bw9n2QdTn
まあ死ねよ。

547: 名無しさん@おーぷん 2014/07/03(木)00:38:35 ID:Bw9n2QdTn
だから死ねよ。もう救われることは永遠にないから
お前の人生は夫を殺したときに終わったんだよ。

549: 名無しさん@おーぷん 2014/07/03(木)00:40:14 ID:Bw9n2QdTn
どっちでもいいよ。素直に書くけど死ぬべきだ。

552: 名無しさん@おーぷん 2014/07/03(木)00:47:13 ID:Bw9n2QdTn
もう一回ダメ押しするけど死ねよ?
お前はそれ以外では救われないよ。

554: 名無しさん@おーぷん:2014/07/03(木)00:52:04 ID:Bw9n2QdTn
落ち着いて有効なアドバイスしてるんだがな。
死ぬ以外に死んだ旦那と釣り合うほうほうないだろ?

幸せまにあ 「私も働いて夫の負担を軽くしたい」→バイト先の歓迎会で気がついた時はホテルのベッドの上→打ち明けるしかない…→夫号泣「一生愛し続けると誓ったのに!」→その後…

俺もそう思う。