IIS で HSTS (HTTP Strict Transport Security) を有効にする - IIS
IIS で HSTS (HTTP Strict Transport Security) を有効にする手順を紹介します。
手順
[インターネット インフォメーション サービス (IIS) マネージャー]を起動します。下図のウィンドウが表示されます。左側のツリービューでHSTSを有効にするサイトをクリックして選択します。
右側の[機能ビュー]の[HTTP 応答ヘッダー]をダブルクリックします。
[HTTP 応答ヘッダー]画面が表示されます。右側の[操作]パネルの[追加...]リンクをクリックします。
[カスタム HTTP 応答ヘッダーの追加]ダイアログが表示されます。
[カスタム HTTP 応答ヘッダーの追加]ダイアログの[名前]テキストボックスに
strict-transport-security
を入力します。[値]のテキストボックスに
max-age=(有効期間秒数)
を入力します。今回はテストのため3600秒=1時間の設定にするため、"max-age=3600"を入力します。
設定ができたら[OK]ボタンをクリックしてダイアログボックスを閉じます。
[HTTP 応答ヘッダー]画面のリストに追加した項目が表示されます。
動作確認
最初にHTTPSのページにアクセスします。httpのページでは、strict-transport-securityの設定は反映されないためです。
今回の例では"https://www.ipentec.com"にアクセスします。アクセスするとHSTSの設定により以後一時間はhttpサイトにアクセスすると、httpsでの接続が実行されます。
"https://www.ipentec.com"に接続後、検索エンジンなどから、httpサイト(http://www.ipentec.com)にアクセスします。
httpサイトにアクセスしましたが、httpsサイトへ接続していることが確認できます。
以上で、HSTS の設定が完了しました。
著者
iPentec.com の代表。ハードウェア、サーバー投資、管理などを担当。
Office 365やデータベースの記事なども担当。