logo
GeekFormat

HSTS解析

Strict-Transport-Security アナライザー

HSTS max-age、includeSubDomains、preloadの組み合わせがブラウザとpreloadリストの要件を満たしているかどうかを分析します。

解析サマリー

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
HSTS構造体に明らかなエラーはないようです

ビルダー

max-age=31536000; includeSubDomains; preload

JSONプレビュー

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

HSTSをオンラインで確認。まずHTTPS強制ポリシーが安定しているか判断。

関連おすすめ

ユースケース

  • サイト全体のHTTPS強制を準備する際に、まずHSTS期間・サブドメインポリシーが現在の環境に適しているか確認
  • セキュリティ改善時にジェネレーターで合理的なmax-age値を設定し、includeSubDomainsをチェック
  • HSTS preload申請前に設定にpreloadディレクティブが含まれ、ブラウザ要件を満たしているかセルフチェック
  • HTTPSダウングレードアクセス問題のトラブルシューティング時に、HSTSレスポンスヘッダーが正しく返されているか確認し、各ディレクティブを解析

特徴

  • 重要ディレクティブを明確に分解:期間・サブドメインカバレッジ・preload条件を混在させない
  • HTTPS強制前にセルフチェック:誤った設定をサイト全体に拡大するのを回避
  • プリロード前にセルフチェック:HSTSヘッダーがpreload要件に近いか事前判断を支援
  • 設定を素早く理解:結果を直感的に表示し、開発・インフラ・セキュリティチームの協同処理に便利

使い方

  1. HSTSレスポンスヘッダー内容を解析エリアに貼り付け、またはジェネレーターを使用してmax-age秒数を入力しオプションをチェック
  2. 解析モードでmax-age(可読期間)・includeSubDomains・preload・警告情報を確認
  3. 生成モードでmax-age秒数を設定し、includeSubDomains・preloadオプションをチェック
  4. 生成されたHSTS内容をコピーしてサーバー設定に使用、または入力エリアの内容を上書きして継続デバッグ

よくある質問

HSTSは何のために使いますか?

HSTSはブラウザに今後このサイトへHTTPSのみでアクセスするよう伝え、ダウングレードアクセスや中間者攻撃を削減するために使用されます。ただし、ポリシーを明確に理解する前に盲目的に最大化するのは適切ではありません。

max-age・includeSubDomains・preloadはそれぞれ何を意味しますか?

max-ageはHSTS有効期間、includeSubDomainsはサブドメインにも有効化することを示し、preloadはブラウザのプリロードリストに関連します。ツールは各項目を分解して確認を支援します。

サイトがHSTS preload要件を満たしているか検査するのに適していますか?

適しています。コアフィールドが揃っているか確認するのに役立ち、プリロードリスト入りするための基本条件を満たしているかを事前評価できます。

リリース前にHSTSを検査する理由は何ですか?

設定が不適切な場合、HTTPSポリシーが緩すぎる・厳しすぎる問題が発生する可能性があります。リリース前に一度解析することで、フィールド欠落・値の不合理・サブドメインカバレッジ不完全などの問題をより早期に発見できます。