Top/HSTS

HSTS

2023-03-11 (土) 11:09:30

HSTS

名称

  • HTTP Strict Transport Security

概要

  • WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
  • HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
  • 同一ドメインでの接続がすべてHTTPSになる。
  • 中間者攻撃対策

使い方

HTTPレスポンスヘッダの指定

  • Strict-Transport-Security 
    Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains

問題点

  • 初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
    • HTTPでの接続に対しては、強制的にHTTPSにリダイレクトさせる。

HSTS Preloading

  • HSTSプリロード
  • HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
  • Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。
  • Preloaded HSTS(Chrome)

関連用語