総HTTPS化への道 (HTTP Strict Transport Security編)

といっても、時間が無いので手短に。

HSTS:HTTP Strict Transport Security
HTTP Strict Transport Security (よく HSTS と略されます) は、Web サイトがブラウザに対して、HTTP の代わりに HTTPS を用いて通信を行うように伝達することができるセキュリティ機能です。HTTP Strict Transport Security - Security | MDN

とりあえず導入。
.htaccessに
Header set Strict-Transport-Security "max-age=315360000;"
って追加しておけば、対応するブラウザであればHTTPでアクセスしてもHTTPSになる。

さらにセキュリティを高めるためには、HSTS preload(ホワイトリストの先読み)があるんだけど、これをするにはサブドメイン含めて全てHTTPSにしないとだめ。
wwwはさくらのサーバコントロールパネルから無効にできる(でもhttps://www.mcrn.jp/(ルート)だけは404ではなくさくらのページが表示されてしまう)けど、問題はsblo。そう、ここ(2015/9/25時点)。

ということで、HSTS preload対応するためにはここは完全閉鎖しないとだめだけど、現時点の移行計画としてはしばらく残すつもりなので、HSTS preloadはかなり先かな。
まあ、移行計画自体前倒しで進んでる(というより勢いで突っ走ってる)から、予想より早いかもしれないけど。