目次

HSTSの設定方法

nginx では、VirtualHost で複数サイトの運営をしているので、各サイトごとに下記の設定を追加しました。

nginx.conf の https ディレクティブで一括設定してもいいですが、今回は個別にやる方法を共有しておきたいと思います。

server {
    listen       443;
    ssl          on;
    server_name  example.org;

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

    # 以下を追加
    add_header Strict-Transport-Security 'max-age=31536000';

nginx のサービスを再起動して、実際にリクエストしてレスポンスヘッダを確認すると、以下が付与されていることがわかります。

Strict-Transport-Security:max-age=31536000

サブドメインに対しても同時に設定したい場合は、先ほどの設定に「includeSubDomains」を追加してください。

add_header Strict-Transport-Security 'max-age=31536000; includeSubDomains';

この場合、レスポンスヘッダも以下のように変わります。

Strict-Transport-Security:max-age=31536000; includeSubDomains

なお、設定をミスってしまった場合など、HSTS を無効にしたい場合は max-age を 0 にすることで無効化できます。

add_header Strict-Transport-Security 'max-age=0; includeSubDomains';

Tips記事一覧

新着記事一覧です。

関連記事一覧