Troubleshoot
HSTS が未設定 / 短すぎる
最終更新: 2026-04-25
症状
セキュリティ診断で HSTS 不足を指摘される
- /tools/hsts-check で max-age が短い
- A+ に到達しない(SSL Labs)
想定される原因
- 1
max-age が 6 か月未満
セキュリティ基準を満たさない。
- 2
includeSubDomains なし
サブドメインを守れていない。
対処手順
- Caddy / Nginx で max-age=31536000; includeSubDomains; preload を返す
- /tools/caddyfile-generator の HSTS オプションを ON
- preload を付けたら hstspreload.org に登録