HSTS

HSTS†

名称†

• HTTP Strict Transport Security

概要†

• WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
• HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
• 同一ドメインでの接続がすべてHTTPSになる。
• 中間者攻撃対策

• RFC6797
  https://tools.ietf.org/html/rfc6797

使い方†

HTTPレスポンスヘッダの指定†

• Strict-Transport-Security

  Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
  Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains;preload

問題点†

• 初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
  • HTTPでの接続に対しては、強制的にHTTPSにリダイレクトさせる。

HSTS Preloading†

• HSTSプリロード
• HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
• Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。

• Preloaded HSTS（Chrome）

• HSTSプリロードリストにドメインを登録する必要がある
  • hstspreload.org でドメインを申請して登録する

登録条件†

• HTTPリクエストヘッダーのStrict-Transport-Security
  • max-age が"31536000"(1年)以上
  • includeSubDomains、preload が含まれている
• HTTPからHTTPSへのリダイレクトが設定されている
• 有効なサーバー証明書が設定されている

関連サイト†

• Strict-Transport-Security - MDN web docs
  https://developer.mozilla.org/ja/docs/Web/HTTP/Reference/Headers/Strict-Transport-Security

• HSTS preload list - Googleが運営
  https://hstspreload.org/

• HTTP Strict Transport Security - The Chrome Projects
  https://www.chromium.org/hsts/

関連用語†

• HTTPS
• SSL
• 中間者攻撃

最新の20件

新規