メニュー
【SSL証明書】FAQ/情報
↑ 上へ
注文
検索
HSTS(HTTP Strict Transport Security)とは?設定方法と注意点
ページ更新日:2026/04/24
HSTS(HTTP Strict Transport Security)は、Webサーバーがブラウザに対して「このサイトには常にHTTPSで接続してください」と指示するセキュリティ機能です。
一度アクセスしたブラウザは、指定期間中は自動的にHTTPSでのみ接続するようになり、中間者攻撃(MITM)やSSLストリッピング攻撃を防止します。
HSTSの仕組み
HSTSは、サーバーがHTTPSレスポンスに以下のようなヘッダーを付与することで機能します:
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
| パラメータ | 説明 |
max-age=31536000 |
ブラウザがHTTPS強制を記憶する期間(秒)。31536000秒=1年。 |
includeSubDomains |
サブドメインにも同じポリシーを適用する。 |
preload |
HSTSプリロードリストへの登録を許可。ブラウザ出荷時からHTTPSを強制。 |
HSTSのメリット
- SSLストリッピング攻撃の防止:攻撃者がHTTPS→HTTP接続に切り替えさせる手法を無効化します。
- 最初のリダイレクトを省略:一度訪問したブラウザはHTTPリクエスト自体をHTTPSに変換するため、サーバーへのHTTPアクセスが発生しません。
- SEO効果:一貫したHTTPS運用はGoogle等の検索エンジンの評価に好影響を与えます。
- プリロードリストへの登録:初回アクセスからHTTPS強制が可能になります。
各Webサーバーでの設定方法
Nginx
server {
listen 443 ssl;
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
...
}
Apache
# mod_headers モジュールが必要 Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
IIS(web.config)
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains" />
</customHeaders>
</httpProtocol>
</system.webServer>
HSTSプリロードリストとは
Chrome・Firefox・Safari・Edgeなどの主要ブラウザは HSTSプリロードリスト(hstspreload.org)を持っており、リストに登録されたドメインには初回アクセスからHTTPSが強制されます。
登録するには以下の要件を満たす必要があります:
- 有効なSSL証明書が設定されていること
- HTTPからHTTPSへの301リダイレクトが設定されていること
- HSTSヘッダーに
max-age=31536000(1年以上)、includeSubDomains、preloadが含まれること - 全サブドメインもHTTPSで運用されていること
登録は hstspreload.org から申請できます。
HSTSの注意点
- HTTPSが正しく動作してから設定すること:SSL証明書の期限切れや設定ミスがある状態でHSTSを有効にすると、ブラウザがHTTPSでしかアクセスしないためサイトにアクセスできなくなります。
- includeSubDomainsの適用範囲:すべてのサブドメインがHTTPSに対応していない場合は
includeSubDomainsを省いてください。 - max-ageは段階的に増やす:最初は短い値(例:
max-age=300)でテストし、問題がなければ長期間に変更することを推奨します。 - 解除はすぐにはできない:HSTSを解除しても、ブラウザが記憶している期間中はHTTPSが強制されます。
📌 関連ページ:
NginxへのSSL証明書インストール手順
ApacheへのSSL証明書インストール手順
証明書透明性(CT)ログとは?
SSLとTLSの違い・TLSとは何か