「HSTS Missing From HTTPS Server」エラーを修正する方法?

HSTSは、中間者攻撃のようなサイバー攻撃からウェブサイトを保護する重要なウェブセキュリティ機能です。安全なHTTPS専用の接続を強制し、HTTPへのダウングレードを防ぎます。

なぜHSTSは重要なのですか?

HSTSは、ユーザーとあなたのウェブサイトの間で交換されるデータの整合性と機密性を保証する重要なセキュリティ機能です。

これがなければ、あなたのサイトは様々なセキュリティ脅威に対して脆弱になります。HSTSは以下の主要な利点を提供します:

  • データの整合性: 攻撃者がユーザーのブラウザとあなたのサーバー間で送信されるデータを改ざんすることを防ぎます。
  • プライバシー: HSTSは機密性の高いユーザーデータを秘密に保ちます。
  • フィッシングからの保護: 安全な接続を強制することで、あなたのウェブサイトの訪問者をフィッシング攻撃から保護します。

「HSTS missing from HTTPS server」エラーの修正

このエラーは様々な理由で発生する可能性があり、あなたのウェブサイトのセキュリティとユーザーの信頼を維持するために迅速に対処することが不可欠です。問題を解決するためのステップバイステップのガイドはこちらです:

1. ウェブサイトの完全なバックアップを作成する

HSTSヘッダーを追加する前に、安全のためにウェブサイトの完全なバックアップを作成することが不可欠です。WP Stagingプラグインを使用して、サイトのデータを保護することができます。

このバックアップにより、HSTSセットアップ中に問題が発生した場合でも、簡単にサイトを復元でき、データ損失や中断のリスクを軽減できます。

WP STAGING – WordPress Backup, Restore & Migration

2. HTTPSセットアップを確認する

「HSTS missing from HTTPS server」エラーに対処する最初のステップは、ウェブサイトが有効なHTTPSセットアップを持っていることを確認することです。

これにはドメインに対する有効なSSL/TLS証明書の取得が含まれます。HTTPSがなければ、HSTSは正しく機能できません。

3. HSTSヘッダーの設定

HSTSを有効化するには、サーバー設定で「Strict-Transport-Security」ヘッダーを追加することでHTTPレスポンスヘッダーを設定します。cPanel経由でHSTSを有効化するには、以下の手順に従います:

  1. cPanelアカウントにログインします。
cPanelログインページ
  1. cPanelダッシュボードで、「File Manager」を見つけてクリックします。
cPanelファイルマネージャー
  1. あなたのウェブサイトに対応するディレクトリを選択します。これは通常「public_html」または「www」フォルダです。
Public HTML
  1. ウェブサイトディレクトリで、.htaccessファイルを見つけます。
  2. .htaccessファイルを右クリックし、「Edit」または「Code Edit」を選択します。
.htaccessファイルを編集
  1. HSTSを有効化するために、以下のコード行を.htaccessファイルに挿入します。「max-age」の値をカスタマイズして、HSTSを強制する期間(秒単位)を設定します。
  2. 1年(31536000秒)の期間の例は以下のとおりです:
PHP
<IfModule mod_headers.c>

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

</IfModule>
HSTS missing from HTTPS serverを修正するために.htaccessファイルにコードを追加
  1. コードを追加した後、.htaccessファイルを保存します。
.htaccessファイルを保存

HSTSヘッダーが設定されたら、ウェブサイトがHTTPS経由で安全に読み込まれることを確認し、ヘッダーが正しく設定されていることを確認します。オンラインツールやブラウザの開発者ツールを使用して正確性を確認します。

4. サイトをGoogleのHSTSプリロードリストに送信する

ウェブサイトをGoogleのHSTSプリロードリストに送信するには、以下の手順に従う必要があります:

ウェブサイトが要件を満たしていることを確認する – あなたのウェブサイトには有効なSSL証明書が必要で、同じホストでHTTPからHTTPSにリダイレクトし、すべてのサブドメインをHTTPS経由で配信し、HTTPSリクエストに対してベースドメインでHSTSヘッダーを提供する必要があります。

max-ageは少なくとも31536000秒(1年)でなければならず、includeSubDomainsディレクティブを指定する必要があり、preloadディレクティブを指定する必要があります。

ドメイン名を送信するhstspreload.orgにアクセスして、あなたのドメイン名を送信します。サイトがすべての要件を満たしていれば、GoogleのHSTSプリロードリストに追加されます。

リクエストのステータスを確認するhstspreload.orgのフォームに再度ドメイン名を入力するか、ブラウザでchrome://net-internals/#hstsにアクセスすることで、リクエストのステータスを確認できます。

5. テストと監視

必要な設定を行った後、ウェブサイトのセキュリティと機能性をテストすることが重要です。HSTS設定を検証するのに役立つ様々なオンラインツールやサービスが利用できます。

結論

この包括的なガイドでは、ウェブセキュリティにおけるHSTSの重要性を探り、「HSTS missing from HTTPS server」エラーを修正するための詳細なロードマップを提供しました。これらの手順に従うことで、ウェブサイトを安全で信頼できる状態に保ち、訪問者に安全な閲覧体験を提供することができます。

関連記事

Thomas Maier

著者: Thomas Maier

You know me as a publisher, developer, or business owner.
Built the largest German platform for word games and crosswords.
Built the popular Advanced Ads WordPress plugin to effectively monetize websites.
Currently back to the roots developing the Image Source Control plugin for WordPress to manage image attributions, captions, and cleaning up the media library.