読んだので簡単にまとめてみる試み。force_ssl 関連。

• Rails 5 adds more control to fine tuning SSL usage | BigBinary Blog

Rails で HTTPS を強制する config.force_ssl = true' を設定すると、middleware stack にActionDispatch::SSL` が挿入されるわけだけれど、ActionDispatch::SSL は3つの責務を担うね。

1. http request を https request に redirect する
2. browser に伝えるために secure flag をセットする
3. response に HSTS ヘッダを追加する

Rails 5 からは HTTP status を指定することができる(default: 301)。

refs.

• Make config.force_ssl less dangerous to try and easier to disable #21520

config.force_ssl = true
config.ssl_options = {  redirect: { status: 307, port: 81 } }

こちらがマージされて、non-(GET or HEAD) なリクエストの場合には default で 307 となった

• Return 307 status instead of 301 when rerouting POST requests to SSL #23941

HSTS header の preload directive や、max-age の設定はこのようにできる

config.ssl_options = { hsts: { preload: true } }
config.ssl_options = { hsts: { expires: 10.days } }

Rails5 では false にすると expires には 0 がセットされ、HTTPS として扱わなくなる

config.ssl_options = { hsts: false }