HSTS
の履歴(No.3)
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
履歴一覧
差分
を表示
現在との差分
を表示
ソース
を表示
HSTS
へ行く。
1 (2021-11-14 (日) 12:02:06)
2 (2022-09-04 (日) 22:00:58)
3 (2023-02-13 (月) 16:41:37)
HSTS
†
↑
名称
†
HTTP Strict Transport Security
↑
概要
†
WebサーバからWebブラウザに対して、次回以降はHTTPSでアクセスするように通知する仕組み
HTTPヘッダ(応答)で通知され、HTTPS接続が求められる有効期限が指定される
同一ドメインでの接続がすべてHTTPSになる。
中間者攻撃
対策
RFC6797
https://tools.ietf.org/html/rfc6797
↑
使い方
†
↑
HTTPレスポンスヘッダの指定
†
Strict-Transport-Security
Strict-Transport-Security:max-age=有効期間(秒数);includeSubDomains
↑
問題点
†
初回の接続がHTTPの場合は、HSTSが有効にならずに通信が盗聴される可能性がある。
HTTP
での接続に対しては、強制的に
HTTPS
にリダイレクトさせる。
↑
HSTS Preloading
†
HSTSプリロード
HSTS対応しているWebサーバへの初回の接続を強制的にHTTPSにするWebブラウザの機能
Webブラウザ本体にHSTSで接続するドメインのリストを持つことで最初からHTTPSで接続する。
Preloaded HSTS(Chrome)
↑
関連用語
†
HTTPS
SSL
中間者攻撃
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
