セキュリティ対策などでHSTS(HTTP Strict Transport Security)が扱われることがあるため、
簡単に説明いたします。
Webサーバーから受信するHTTPヘッダにStrict-Transport-Securityの記述を付与することで、
ブラウザに次回以降httpsで接続するよう記憶させることができます。
サーバー側の処理がなくても、httpsの暗号化されたURLに接続しますので、
暗号化されていない通信を覗かれる中間者攻撃を防止するための技術になります。
サーバー側では下記の設定などでヘッダ付与の設定をします。
Header set Strict-Transport-Security "max-age=31536000;"
上記の例だと31536000秒(1年間)ブラウザで記憶されます。
メインドメイン以下すべてのサブドメインを含む下記のフラグ設定もあります。
includeSubDomains
初回の接続時からHTTPSでのアクセスを指示する方法に「HSTSプリロード」という仕組みもあります。
下記のフラグでHSTSプリロードリストに登録されます。
preload
HSTSプリロードリストの登録を急ぐ場合は申請が必要になります。
