SSL/TLSチェッカー

チェック内容：(1) HTTPSに到達可能で接続が成功するかどうか、(2) HTTPが301/302リダイレクトでHTTPSにリダイレクトするかどうか、(3) HSTSヘッダー（max-age、includeSubDomains、preloadディレクティブ）、(4) hstspreload.org経由のHSTSプリロードリストのステータス、(5) 混合コンテンツ - HTTPSページ上のHTTPリソース、および(6) HTTP→HTTPSリダイレクトチェーン。

HTTP Strict Transport Security (HSTS)は、ユーザーがhttp://と入力しても、サイトはHTTPSでのみアクセスされるべきことをブラウザに通知します。HSTSがないと、同じWiFiネットワーク上の攻撃者はSSLストリッピングを実行できます。初期HTTPリクエストをインターセプトしてリダイレクトの前に処理し、偽のHTTPバージョンを提供します。HSTSは、ブラウザが最初のリクエストからHTTPSを常に使用するようにすることで、これを防ぎます。

HSTSプリロードリストは、HTTPリクエストが実行される前に、常にHTTPSでアクセスされるブラウザ（Chrome、Firefox、Safari、Edge）にハードコードされたドメインのリストです。これにより、最初のアクセスの脆弱性さえも排除されます。対象になるには、サイトがmax-age≥31536000、includeSubDomains、およびpreloadを備えたHSTSが必要です。hstspreload.orgで送信できます。

混合コンテンツはHTTPSページがHTTP上でリソース（画像、スクリプト、スタイルシート、iframe）を読み込むときに発生します。モダンブラウザは改ざんされる可能性のある「アクティブ」混合コンテンツ（スクリプト、スタイルシート、iframe）をブロックします。「パッシブ」混合コンテンツ（画像、オーディオ、ビデオ）はセキュリティ警告を表示することがあります。パッシブ混合コンテンツでもデータを漏らす可能性があります。HTTPリクエストはユーザーがどのHTTPSページにいるかを明かします。

HTTPS接続性だけがベースラインです。高スコアはまた以下を要求します：長いmax-age（≥1年）を備えたHSTSヘッダー、サブドメインをカバーするincludeSubDomains、HTTPからの301リダイレクト、混合コンテンツなし、および理想的にはHSTSプリロードステータス。各不足要素はスコアを低下させます。

このツールはHTTPSが現在機能しているかどうかをチェックします（有効で期限切れでない証明書が必要）が、特定の有効期限を表示しません。詳細な証明書情報（有効期限、発行者、SAN、暗号スイート）については、SSL LabsのSSL TestをssL labs.com/ssltestで使用してください。実行に時間がかかりますが、包括的な暗号監査を提供します。

CSPディレクティブ`upgrade-insecure-requests`は、ブラウザにHTTP下位要求（画像、スクリプト、API呼び出し）を作成前にHTTPSに自動的に変換するよう指示します。これはHTMLまたはCSSのハードコードされたhttp://URLによって引き起こされた混合コンテンツの問題のクイックフィックスです。根本原因（間違ったURL）は修正されませんが、ブラウザの警告を防ぎます。