IIS で HSTS (HTTP Strict Transport Security) を有効にする - IIS

IIS で HSTS (HTTP Strict Transport Security) を有効にする手順を紹介します。

手順

[インターネット インフォメーション サービス (IIS) マネージャー]を起動します。下図のウィンドウが表示されます。左側のツリービューでHSTSを有効にするサイトをクリックして選択します。


右側の[機能ビュー]の[HTTP 応答ヘッダー]をダブルクリックします。


[HTTP 応答ヘッダー]画面が表示されます。右側の[操作]パネルの[追加...]リンクをクリックします。


[カスタム HTTP 応答ヘッダーの追加]ダイアログが表示されます。


[カスタム HTTP 応答ヘッダーの追加]ダイアログの[名前]テキストボックスに を入力します。[値]のテキストボックスに を入力します。今回はテストのため3600秒=1時間の設定にするため、"max-age=3600"を入力します。


設定ができたら[OK]ボタンをクリックしてダイアログボックスを閉じます。

[HTTP 応答ヘッダー]画面のリストに追加した項目が表示されます。

動作確認

最初にHTTPSのページにアクセスします。httpのページでは、strict-transport-securityの設定は反映されないためです。
今回の例では"https://www.ipentec.com"にアクセスします。アクセスするとHSTSの設定により以後一時間はhttpサイトにアクセスすると、httpsでの接続が実行されます。

"https://www.ipentec.com"に接続後、検索エンジンなどから、httpサイト(http://www.ipentec.com)にアクセスします。


httpサイトにアクセスしましたが、httpsサイトへ接続していることが確認できます。


以上で、HSTS の設定が完了しました。