2017年後半に入って、SSL対応するサイトは急増しています。SSL化に関しては、日本は世界の中でも出遅れ気味でしたが、2017年に入ってから、楽天、クックパッド、アメブロ、Yahoo JapanがHTTPS化して、ウェッブトラフィックにおけるHTTPSの比率は大きく上昇しています。個人運営のサイトでも、httpsで表示されるサイトが増えてきました。しかし、HTTPS化したサイトでも、HSTSをサポートするサイトは多くないようです。

HSTS は、自動的に HTTPS ページをリクエストするようにブラウザに指示する仕組みです。ユーザーがブラウザのアドレスバーに http を入力した場合やhttpで貼られたリンクをクリックした場合でも HTTPS が使用されます。Googleは、サイトをHTTPS化したサイトでHSTSをサポートする ことを推奨しています。

現時点ではあまり普及していないHSTS

ブロギングライフでも、HSTSについて の記事を投稿しています。現時点では、検索などで上位に表示されるHSTSについて説明記事が掲載されているサイトでも、なぜかHSTSをサポートしているサイトは少ないです。不思議なことにHSTSのキーワードでの検索結果の上位に表示されているサイトでは、HSTSのサポートをしているところは少なく、下位（少し下、5位以下）になるとサポートしているサイトが比較的多くなります。以前、SSL化について検索の上位に登場するサイトがSSL非対応が多かったのと少し似た現象かもしれません。

SSL化をするとサイトのアドレスバーが、httpからhttpsに変わり、安全であることを示す鍵マークが緑色に表示されます。一見しても、SSL化対応しているかどうか分かります。しかし、HSTSのサポートは、一見してもサポートしているかどうかは分かりません。HSTSは必須ではなく推奨であること、見て直ぐにサポートしているかも分からないので、現時点ではあまり認知されず、普及していないのかもしれません。

しかし、HSTSをサポートすると、HTTPからの訪問でも、リダイレクトされず最初からHTTPSでブラウザがアクセスするため、サイトを訪問する人の安全性は高まります。HSTSをサポートすることは、真の意味での常時SSL化だと思います。

サイトがHSTSをサポートしているか簡単に知る方法

サイトがHSTS化しているかチェックする簡単な方法は、HSTSのプリロードの登録申請を行うhstspreload.orgでドメイン名を入力すると簡単に分かります。（厳密に言うと、HSTSの設定を行って、さらにプリロードリストの登録済みかの確認になります。）HSTSの設定とプリロード リストへの登録申請方法は、こちらの記事をご覧下さい。

HSTS プリロードリスクに登録済みのサイトは、ステータスに”example.com is currently preloaded.”と表示されます。

これからHSTSの普及は本格化する？

Amebaは、2017年8月15日に常時SSL化についての取り組みについての記事を投稿しました。記事の中で以下のような説明があります。

このHSTSの処理は、今後行う予定である常時SSL化のために必要な過程でございます。

まさに書かれている通り、真の意味での常時SSL化とするためにはHSTSは必要です。ブログ市場で大きな存在感のあるアメブロがHSTSの対応をすることで、今後、HSTSの認知が広まり、サポートするサイトも増えてくるかもしれないと考えています。

Googleは、2017年9月27日、HSTSのサポートをさらに広げる発表 を行いました。今後、GoogleはHSTSのサポートを強化していくと予想しています。

このGoogleがHSTSサポートの強化を発表した後くらいから、HSTS関連のキーワード検索経由の本サイトへの訪問が増えています。HSTSに対する関心も高まってきていると推測しています。