HSTSプリロードチェッカー

HTTP Strict Transport Security（HSTS）は、あなたのサイトはHTTPSでのみアクセスすべきで、HTTPでは決してアクセスすべきではないことをブラウザーに指示します。ブラウザーがStrict-Transport-Securityヘッダーを見ると、max-ageの期間中、すべてのHTTPリクエストをHTTPSに自動的に変換します。これにより、攻撃者がHTTPトラフィックをHTTPSにリダイレクトする前に傍受するSSLストリッピング攻撃を防止します。HSTSはHTTPS対応サイトの重要なセキュリティヘッダーです。

HSTSプリロードリストは、ブラウザー（Chrome、Firefox、Safari、Edge）に組み込まれたドメインのハードコードされたリストです。最初の訪問時でさえ、HSTSヘッダーが表示される前にHTTPSで常にロードされます。これは、ユーザーがHTTP経由でサイトを初めて訪問したときに存在する脆弱性の窓を閉じます。プリロードリストに含まれるには、ドメインはmax-age≥31536000、includeSubDomains、およびpreloadディレクティブを持つHSTSが必要です。

あなたのドメインは以下を行う必要があります：（1）有効なHTTPS証明書を提供、（2）すべてのHTTPトラフィックをHTTPSにリダイレクト、（3）少なくとも31536000（1年）のmax-ageを持つHTTPS応答のStrict-Transport-Securityヘッダーを持つ、（4）includeSubDomainsディレクティブを含む、（5）preloadディレクティブを含む。すべてのサブドメインもHTTPSでアクセス可能である必要があります（includeSubDomains要件がカバーします）。hstspreload.orgで送信してください。

初期展開では、訪問者をロックインさせずにテストするために短いmax-age（例：300秒）で開始します。徐々に1か月、次に6か月、次に1年（31536000秒）に増加させます。1年の値はプリロードリスト適格性に必要です。警告：HSTSが長いmax-ageでアクティブになると、HTTPに簡単に戻すことはできません。サイトは期間中HTTPSを維持する必要があります。そうでないと、訪問者はアクセスできなくなります。

HSTSは最初の訪問後のSSLストリッピングおよびプロトコルダウングレード攻撃から保護します。ただし、ユーザーがHTTP経由で接続する場合、最初の訪問はまだ脆弱です（TOFUの問題。Trust On First Use）。プリロードリストはブラウザーが最初のリクエストからHTTPSを適用することを保証することで、これを解決します。HSTSは認証局の漏洩や、HTTPS証明書が無効な場合から保護していません。それには証明書透明性（CT）監視およびCAA DNSレコードが必要です。