Perfect Forward Secrecyの導入後、4D WebサーバーはHTTP Strict transport Security (HSTS)をサポートし、セキュリティレベルを再び向上させました。これにより、4D Webサーバーは、最新のセキュリティプロトコルに準拠します。4D v17にアップグレードしてHSTSを有効にするだけで、あなたのWebサイトはSSL LabsからA+ランク(最高レベル)を取得できます!
HTTPSプロトコルは、クライアントとサーバー間の通信を保護するために使用されます。クライアントが空港やコーヒーショップの公衆無線LANに接続してサイトにアクセスできる世界では、クライアントのブラウザにHTTPSを使用するよう要求することが非常に重要です。そのためには、4D Webサーバーの新しいHSTS機能を有効化するだけです!
HSTSの有効化
HSTSは、Webサーバーが、安全なHTTPS接続を介してのみ、ブラウザと通信することを宣言することを可能にします。一度有効にすると、4Dウェブサーバーは自動的にHSTS関連の情報をすべてのレスポンスヘッダに追加します。
ブラウザは、HSTS情報を含む4Dウェブサーバの最初のレスポンスを受信すると、それを記録します。その時点から、それ以降のHTTPリクエストは自動的にHTTPSに変換されます。また、Web HSTS max age オプションで、ブラウザがこの情報を保存する期間を指定することができます。
// ブラウザが、そのサイトにはHTTPSでしかアクセスできないことを記憶しておく時間です。
WEB SET OPTION(Web HSTS max age;25778800)
// 4D Web サーバーで HSTS を有効にする
WEB SET OPTION(Web HSTS enabled;1)
HTTP と HTTPS の管理
Web HSTS max age オプションの他に、次の 2 つのオプションが追加されました。 WEB SET OPTIONコマンドに追加され、4D Web サーバーで HTTP または HTTPS をプログラ ム的に有効/無効にすることができるようになりました。
//4D Web サーバーで HTTP を無効にする
WEB SET OPTION(Web HTTP enabled;0)
// 4D Web サーバーで HTTPSを有効にする
WEB SET OPTION(Web HTTPS enabled;
Web/Configuration ページの Database Settings にも、HTTP の有効・無効のオプションが追加されました。