HSTSってなに？(1)

HSTS（HTTP Strict Transport Security）という言葉を知ってる人は殆ど居ないと思う。
知ってるのは情報システム系の人間だけで、その中でもごく限られた人だと思う。

HSTSを簡単に言うと、ウェブサイトがブラウザにHTTPSでのアクセスを強制するセキュリティ機能だそうです。
わからないと思いますのでちゃんと説明しますね(笑)

サーバの管理者(自分)が、サーバAでHSTS機能を有効にする(サブドメインも有効にするとします)
すんません、先にサブドメインについても話します。

サブドメインって何？

うちのドメインは 「tar3.net」 です。
このブログのURLがそうなってたりします。

サブドメインは、例えば「hoge.tar3.net」みたいなドメインです。
ドメインとは URL の最初の方にくるものです。
例えば https://tar3.net/wordpressPublic とすると、「tar3.net」 がドメインと呼ばれるものです。

tar3.net の前に何か付くのがサブドメインです。
例えば、https://hoge.tar3.net/wordpressPublic とかがサブドメインです。
まぁそんなに難しく無い話です(^^)

HSTSってなに？(2)

元に戻って、
サーバAでHSTS機能を有効にする(サブドメインも有効にする)
サーバAのドメインは、「tar3.net」だとする。

サーバBのドメイン(家の中)は、 「hoge.tar3.net」 とする。

家のPCでサーバAにアクセスする -> HSTS の情報が PCのブラウザ(EdgeとかChromeとかFirefoxとか)に保存されます

何が問題？

このあと「hoge.tar3.net」にアクセスすると、http://hoge.tar3.net にはブラウザのHSTS情報を削除しないとアクセスできなくなります。
(自動的に「https://hoge.tar3.net」になってしまう。。。)

困りますよね？何が困るって、この事を知らないと原因の特定が非常に困難(笑)
最初にこの現象に遭遇した時は、解決に数週間を要しました(笑)

で、今日久しぶりにセキュリティ系を見直して、HSTSを有効にしたんですが、
AIの言う通りに設定したら「サブドメインも含む」になってたんです。
もう、家の中の非公開サーバ達に軒並アクセスできなくなって、なんだかなぁ、ってな話でした。。。
HSTSを知ってたから1時間位で解決できましたが、知らなかったらまた数週間かかったことでしょう。。。

AIとの会話でも、なんか噛み合わないっていうか、
– 自分「これって原因はHSTSだよね？」
– AI「うん、そうだね。でもエラーメッセージは http のサイトに https でアクセスしてるからだと思うよ！
だから http でアクセスすれば問題ないよ！」
– 自分「いやいや、HSTSをなんとかしないと http じゃアクセスできないじゃん」
– AI「そうだね。サーバの設定で http を https でアクセスできるようにしてみたらどうかな？」
– 自分「いや、もう良いですw」

結果オーライ

ということで、なんかインターネットに書いたらすっきりしました(笑)
いやー、コンピュータってほんと奥が深いですね(^^)