HSTS Pleload List
HSTS preloadするためにbrowserが参照するlist
このlistに登録されているサイトは、1回目のアクセスからHTTPSでアクセスされる
主要browserは、このリストを内部に組み込んでいる
しらんけど、少なくともchromiumは組み込んでいる
登録手順
https://hstspreload.org/ に登録する
これ全然関係ない人のサイトも登録できちゃうのかmrsekut.icon
登録してから反映されるまでに数週間かかるらしい
登録できる条件
以下の2つがresponse headerに指定されている
Strict-Transport-Security: includeSubDomains
Strict-Transport-Security: preload
満たしていない場合はerrorが表示される
https://gyazo.com/7aafac7919e093221cf4a7dbb95315a4
これ見た感じ、subdomainでないことも条件っぽい
登録されていることを確認する
https://hstspreload.org/ で確認する
申請中は、Status: {..} is pending submission to the preload listと表示される
登録済みは、Status: {..} is currently preloadedと表示される
Chromiumの場合は、Chromium Code Searchを使って調べることができる
https://source.chromium.org/chromium#chromium/src/net/http/transport_security_state_static.json
参考
HSTS (HTTP Strict Transport Security) の導入 - Qiita
AWS ELB配下のHSTS設定方法 | N-LAB
.devドメインと.appドメインがHTTPSを強制する仕組み - Qiita
/miyamonz/chroniumに入っているHSTS preloadリストを調べる