実現したいこと

HSTSの脆弱性(RFC 6797 HTTP Strict Transport Security)を是正したい。
curlコマンドの結果にHSTSヘッダーが表示されるようにしたい。

発生している問題・分からないこと

(RHEL8)
以下の設定をnginx.confに追加したのですが、
curlコマンドの結果にHSTSのヘッダーがありません。何が問題なのか分かる方がいたら教えていただけないでしょうか。よろしくお願い致します。

【nginx.confに追加した設定】

server {
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

listen 443 ssl;
server_name *.xxxxx; ← curlコマンドで指定するドメイン

ssl_certificate /etc/nginx/ssl/ssl.crt/portal.crt;
ssl_certificate_key /etc/nginx/ssl/ssl.key/portal.key;
}

server {
listen 80;
server_name *.xxxxx; ← curlコマンドで指定するドメイン
return 301 https://$host$request_uri;
}

※nginx -t で文法エラーがないことを確認し、systemctl restart nginxを実行

【curlコマンドの結果】

curl -I https://xxxxxx

HTTP/1.1 200 OK
Server: nginx
Date: Tue, 27 May 2025 09:02:09 GMT
Content-Type: text/html; charset=utf-8
Connection: keep-alive
X-Content-Type-Options: nosniff
Expires: Sun, 19 Nov 1978 05:00:00 GMT
Cache-Control: no-cache, must-revalidate
X-Content-Type-Options: nosniff
Content-Language: ja
X-Frame-Options: SAMEORIGIN
X-Generator: Drupal 7 (http://drupal.org)

該当のソースコード

特になし

試したこと・調べたこと

• teratailやGoogle等で検索した
• ソースコードを自分なりに変更した
• 知人に聞いた
• その他

上記の詳細・結果

AIに質問してnginx.confを変更しましたが上手くいきませんでした。

補足

特になし