HSTS†
- HTTP Strict Transport Security
HSTS とは†
- WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
- HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
- 同一ドメインでの接続がすべてHTTPSになる。
- 中間者攻撃対策
使い方†
HTTPヘッダ(応答)†
- Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
問題点†
- 初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
HSTS Preloading†
- HSTSプリロード
- HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
- Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。
関連用語†
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
